Ataque de extorsión a Canvas paraliza clases en universidades y colegios de EE.UU.

Ciberataque a Canvas deja sin acceso a miles de instituciones educativas

Un ataque de extorsión informática contra Canvas, la popular plataforma educativa utilizada por miles de colegios y universidades en Estados Unidos, ha provocado el cierre temporal de sus servicios. El grupo de ciberdelincuentes ShinyHunters se atribuyó el ataque y amenazó con filtrar datos de hasta 275 millones de estudiantes y profesores de casi 9.000 instituciones si no se paga un rescate.

El mensaje de extorsión apareció en la página de inicio de Canvas, reemplazando el acceso habitual. Según capturas compartidas en redes sociales, el texto exigía negociar el pago directamente con el grupo, incluso si la empresa matriz, Instructure, decidía no ceder al chantaje.

Instructure confirma brecha de datos y desactiva la plataforma

Instructure, la compañía propietaria de Canvas (cotizada en NYSE: INST), reconoció el lunes pasado que había sufrido una brecha de seguridad. En un comunicado del 6 de mayo, la empresa confirmó que los datos robados incluían información básica de usuarios, como nombres, correos electrónicos y números de identificación estudiantil, pero no contraseñas, fechas de nacimiento ni datos financieros.

Inicialmente, Instructure aseguró que el incidente estaba controlado y que Canvas seguía operativo. Sin embargo, horas después, la plataforma fue desconectada como medida preventiva. En su página de estado, ahora aparece un aviso indicando que Canvas está en "mantenimiento programado" y que se restablecerá "pronto".

Consecuencias del ataque en plena temporada de exámenes

El ataque llega en un momento crítico para muchas instituciones educativas, que se encuentran en plena temporada de exámenes finales. Una interrupción prolongada podría tener graves repercusiones académicas y financieras para las universidades afectadas.

ShinyHunters, conocido por ataques anteriores contra empresas como Tokopedia y Microsoft, afirmó haber robado varios miles de millones de mensajes privados entre estudiantes y profesores, junto con datos de contacto como teléfonos y correos electrónicos. Aunque la sensibilidad de la información filtrada sigue sin confirmarse, el incidente ha generado alarma entre la comunidad educativa.

Según fuentes cercanas a la investigación, algunas universidades ya estarían negociando directamente con los ciberdelincuentes para evitar la publicación de sus datos, a pesar de los esfuerzos de Instructure por contener la situación.

Recomendaciones para instituciones y usuarios

Instructure ha instado a las instituciones afectadas a no pagar el rescate y a seguir sus actualizaciones oficiales. Mientras tanto, los usuarios deben:

• Evitar acceder a Canvas hasta que se restablezca el servicio.
• Revisar sus correos electrónicos por posibles comunicados de seguridad.
• Estar atentos a intentos de phishing que aprovechen la situación.

El incidente subraya la creciente vulnerabilidad de los sistemas educativos frente a ciberataques, especialmente en un contexto donde la digitalización de la enseñanza sigue en auge.

"Este ataque demuestra que los ciberdelincuentes no solo buscan datos sensibles, sino también interrumpir servicios críticos en momentos clave, como la temporada de exámenes."