Una interrupción masiva en Canvas, la plataforma de aprendizaje digital utilizada por más de 30 millones de usuarios en todo el mundo, ha generado caos en instituciones educativas de Estados Unidos durante la semana de exámenes finales.

Canvas' parent company Instructure has been hacked, and the site is being held for ransom after suffering a data breach

Over 9000+ schools have reportedly been affected and ~225 million users worldwide had their personal information potentially compromised pic.twitter.com/UxZ7o8cx6N

— internet hall of fame (@InternetH0F) May 7, 2026

El incidente, confirmado como un ciberataque por la empresa matriz Instructure, obligó a desconectar el servicio temporalmente tras la aparición de mensajes de extorsión en los sitios de diversas universidades.

¿Cómo ocurrió el hackeo a Canvas y quién es responsable?

El ataque fue adjudicado por el grupo de hackers ShinyHunters, conocido por incidentes previos de alto perfil como el robo de datos a Ticketmaster. Según los reportes, el grupo logró vulnerar la plataforma mediante la explotación de una falla relacionada con las cuentas de tipo "Free-For-Teacher" (Gratis para profesores).

El "mensaje de rescate" por parte del grupo de hackers ShinyHunters que vieron los estudiantes y profesores al ingresar a Canvas.

  • El mensaje de rescate: los estudiantes que intentaron iniciar sesión el jueves se encontraron con una nota del grupo criminal exigiendo un pago para evitar la filtración de datos.
  • Reincidencia: los hackers afirmaron haber vulnerado a Instructure "nuevamente", criticando que la empresa respondió a un incidente previo el pasado 1 de mayo solo con "parches de seguridad" en lugar de negociar.
  • Volumen de datos: el grupo asegura haber robado 3.65 terabytes de información, lo que equivale a unos 275 millones de registros de estudiantes, profesores y personal.

Las universidades y distritos escolares afectados por el hackeo a Canvas

El ataque impactó a más de 8.000 instituciones a nivel global. Entre las universidades de renombre que reportaron el mensaje de los hackers o interrupciones se encuentran:

  • Ivy League y destacadas: Harvard, Princeton, Columbia, University of Pennsylvania, Stanford, Cornell, MIT y Georgetown.
  • Otras instituciones: Rutgers, Kent State, James Madison University, University of Washington, University of California (Riverside) y las universidades de Oxford y Cambridge en el Reino Unido.

ShinyHunters compromised Canvas (to a currently unknown extent) which resulted in a "this system has been compromised" to over 9,000 universities.

As ridiculous as that sounds, I'm not memeing. It has been speculated it is actually over 9,000 universities.

ShinyHunters is… pic.twitter.com/WIBkYGv6bE

— vx-underground (@vxunderground) May 7, 2026

A nivel escolar (K-12), se reportaron afectaciones en distritos de al menos 11 estados, incluyendo California, Florida, Georgia, Carolina del Norte, Tennessee, Virginia y Wisconsin.

Riesgos de privacidad y respuesta de Canvas

Instructure informó que, aunque el sistema fue restaurado completamente el viernes por la mañana, cierta información personal fue expuesta.

  • Datos comprometidos: la brecha incluyó nombres completos, direcciones de correo electrónico, números de ID de estudiante y mensajes privados entre usuarios.
  • Información protegida: hasta el momento, la empresa afirma que no hay evidencia de que se hayan filtrado contraseñas, fechas de nacimiento, datos financieros o identificadores gubernamentales.
  • Preocupación por mensajes: expertos señalan que la filtración de mensajes privados es crítica, ya que los estudiantes suelen usar Canvas para comunicar información sensible sobre salud mental, médica o solicitudes de adaptaciones académicas.

¿Qué deben hacer los estudiantes y docentes afectados?

Aunque el servicio ha sido restablecido, la magnitud de la filtración y el tipo de información académica involucrada representan una preocupación seria de ciberseguridad. Dado que se ha confirmado la exposición de nombres, correos electrónicos y mensajes internos, los expertos y las autoridades recomiendan las siguientes acciones preventivas para proteger la identidad y la integridad de las cuentas:

  • Evitar enlaces sospechosos: no haga clic en enlaces incluidos en correos electrónicos inesperados que digan estar relacionados con Canvas, ya que podrían ser intentos de phishing para robar credenciales.
  • Acceso seguro: ingrese a la plataforma de Canvas únicamente a través del sitio web oficial de su institución educativa y no por enlaces externos.
  • Activar la autenticación de doble factor (MFA): habilite esta capa de seguridad adicional en sus cuentas para evitar accesos no autorizados, incluso si su ID de estudiante fue filtrado.
  • Monitoreo de actividad: manténgase alerta ante cualquier solicitud de inicio de sesión sospechosa o mensajes inusuales que soliciten información personal o cambios de contraseña.
  • Seguir canales oficiales: consulte regularmente las actualizaciones emitidas por el departamento de sistemas (IT) de su universidad o distrito escolar para conocer el alcance específico en su institución.