La plataforma educativa Canvas, utilizada por miles de universidades y escuelas para gestionar cursos, tareas y comunicaciones académicas, fue afectada por un incidente de ciberseguridad que expuso datos de estudiantes, docentes y personal educativo, de acuerdo con reportes de instituciones y medios especializados.
Canvas es desarrollada por Instructure, una empresa estadounidense de tecnología educativa. No debe confundirse con Canva, la plataforma de diseño gráfico. El incidente involucra a Canvas LMS, un sistema de gestión de aprendizaje usado por universidades, colegios y escuelas para clases en línea, entrega de tareas, exámenes y comunicación entre alumnos y profesores.
De acuerdo con reportes de Reuters, periódicos universitarios de instituciones como Harvard, la Universidad de Pensilvania, Duke, UCLA y la Universidad de Nebraska informaron problemas de acceso a Canvas, así como mensajes atribuidos al grupo de hackers ShinyHunters, que afirmó haber comprometido datos de instituciones educativas.
El incidente ocurrió en un periodo especialmente sensible para las universidades de Estados Unidos, debido a que coincidió con semanas de exámenes finales. Algunas comunidades académicas reportaron interrupciones en el acceso a materiales de curso, tareas y comunicaciones internas. Associated Press informó que el ataque afectó a Canvas cuando miles de escuelas se preparaban para el cierre del ciclo académico.
La información potencialmente comprometida incluye nombres, correos electrónicos, números de identificación estudiantil y mensajes entre usuarios, según avisos publicados por universidades y reportes de medios especializados. Algunas instituciones señalaron que, hasta ahora, no hay evidencia de exposición de contraseñas, números de seguridad social, datos bancarios o información financiera.
El grupo ShinyHunters afirmó haber obtenido registros vinculados con millones de usuarios y miles de instituciones. BleepingComputer reportó que los atacantes publicaron una lista de 8,809 escuelas, universidades y plataformas educativas presuntamente afectadas, aunque el alcance total del incidente continúa bajo investigación.
Instructure colocó servicios en modo de mantenimiento y dijo que investigaba el incidente con apoyo de especialistas externos. Universidades como Harvard e Illinois publicaron avisos a sus comunidades para reconocer el incidente, recomendar vigilancia ante posibles intentos de phishing y aclarar que seguían a la espera de más detalles sobre el impacto específico en sus datos.
El caso subraya la dependencia creciente de las instituciones educativas respecto de plataformas centralizadas. Un ataque contra un proveedor tecnológico no solo puede exponer datos personales, sino también interrumpir actividades académicas críticas, como exámenes, entrega de tareas, comunicación entre docentes y estudiantes, y acceso a materiales de clase.
Especialistas citados por Inside Higher Ed advirtieron que las plataformas educativas son objetivos atractivos porque concentran datos personales, académicos y de comunicación de estudiantes, docentes y personal administrativo.
Hasta el momento, las investigaciones siguen abiertas y no se ha confirmado de forma independiente la totalidad de los datos que ShinyHunters asegura haber obtenido. Sin embargo, el incidente ya encendió alertas sobre el riesgo de campañas de phishing personalizadas contra estudiantes y profesores, especialmente si los atacantes tuvieron acceso a correos, identificadores y mensajes internos.
