Filtración de datos Canvas: ShinyHunters expone 275M

Filtración masiva de datos de Canvas confirmada: ShinyHunters ataca al sector educativo

Una filtración masiva de datos en Instructure, la empresa matriz del popular sistema de gestión de aprendizaje Canvas, ha expuesto la información personal de hasta 275 millones de estudiantes, profesores y personal en todo el mundo. El grupo de hackers ShinyHunters reivindicó la autoría del ataque, que afectó a aproximadamente 9.000 instituciones educativas a nivel global, incluyendo varias universidades importantes en los Países Bajos. La brecha fue detectada el 30 de abril de 2026 y confirmada por Instructure el 1 de mayo de 2026.

¿Qué datos fueron robados en la filtración de Canvas?

Según la confirmación oficial de Instructure, los datos expuestos incluyen nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes privados intercambiados entre usuarios de Canvas. La empresa ha declarado que no hay evidencia de que se hayan comprometido contraseñas, fechas de nacimiento, identificaciones gubernamentales o información financiera. Sin embargo, ShinyHunters afirma haber robado 3,65 terabytes de datos, incluyendo 'varios miles de millones de mensajes privados' e información de identificación personal (PII). Los hackers también alegan que accedieron a la instancia de Salesforce de Instructure a través de una mala configuración.

El CISO de Instructure, Steve Proud, confirmó que el incidente está contenido y que las instituciones afectadas serán notificadas si se encuentra expuesta información sensible adicional. La empresa ha implementado parches, rotado claves de aplicación y aumentado la monitorización.

El ultimátum de ShinyHunters: pagar o filtrar

ShinyHunters publicó una amenaza en la dark web dirigida a Instructure Holdings: 'Esta es una advertencia final. Contáctenos antes del 6 de mayo de 2026 o filtraremos los datos y vendrán otros problemas digitales desagradables. Tomen la decisión correcta, no sean el próximo titular'. El grupo es conocido por su estrategia de extorsión 'pagar o filtrar', habiendo atacado anteriormente a empresas como Odido, Ticketmaster, AT&T, Santander y Wattpad.

No es la primera vez que ShinyHunters ataca a Instructure. El mismo grupo explotó un ataque de ingeniería social contra el entorno Salesforce de Instructure en septiembre de 2025, lo que convierte esto en la segunda gran filtración de datos edtech en menos de un año para la empresa.

Universidades holandesas entre las afectadas

Varias instituciones educativas holandesas destacadas que utilizan Canvas están potencialmente afectadas, incluyendo Fontys Hogescholen, Universidad de Maastricht, Hogeschool Utrecht, Universidad de Ámsterdam, VU Ámsterdam, Universidad Erasmus de Róterdam y Universidad de Tilburg. La Universidad de Maastricht ya ha informado a estudiantes y personal por correo electrónico, señalando que Canvas sigue siendo seguro de usar mientras continúan las investigaciones. La Universidad de Twente también ha emitido un comunicado monitoreando la situación.

La creciente amenaza de ciberataques a la educación resalta la vulnerabilidad de las plataformas de aprendizaje centralizadas que almacenan grandes cantidades de datos personales de menores y adultos.

Por qué esta filtración es importante para la educación

Canvas es uno de los sistemas de gestión de aprendizaje más populares del mundo, utilizado por más de 8.000 instituciones en América del Norte, Europa y Asia-Pacífico. La plataforma está en el centro de las operaciones educativas diarias, manejando calificaciones, tareas, comunicaciones y flujos de trabajo administrativos. Una filtración de esta escala genera serias preocupaciones sobre la privacidad de los estudiantes, el robo de identidad y los ataques de phishing dirigidos. Los expertos en ciberseguridad advierten que las direcciones de correo electrónico escolares y los IDs de estudiantes expuestos hacen que estudiantes y profesores sean blancos principales para campañas de ingeniería social.

El sector educativo se ha convertido en un objetivo de alto valor para los ciberdelincuentes. Según informes de la industria, los distritos escolares K-12 promedian cinco incidentes cibernéticos por semana, y el 98% de las instituciones de educación superior reportan haber experimentado al menos un ciberataque. La filtración de Canvas se encuentra entre las más grandes jamás ocurridas en la industria edtech, rivalizando con la filtración de Blackboard de 2020 y el incidente de PowerSchool de 2024.

Qué deben hacer ahora estudiantes y profesores

Los expertos en ciberseguridad recomiendan que todos los usuarios de Canvas tomen las siguientes precauciones:

• Cambiar las contraseñas de Canvas inmediatamente y habilitar la autenticación multifactor (MFA) si está disponible.
• Estar alerta ante correos electrónicos de phishing que parezcan provenir de Instructure o de su institución educativa.
• Monitorear las cuentas en busca de actividad sospechosa, incluyendo intentos de inicio de sesión no autorizados.
• No hacer clic en enlaces ni descargar archivos adjuntos de mensajes no solicitados que afirmen ser sobre la filtración.

Instructure ha declarado que notificará directamente a las instituciones afectadas si se descubre una mayor exposición de datos. La empresa también ha habilitado una página dedicada para actualizaciones sobre la brecha.

Implicaciones regulatorias y legales

La filtración puede desencadenar un escrutinio regulatorio bajo la Ley de Privacidad y Derechos Educativos de la Familia (FERPA) en Estados Unidos, el Reglamento General de Protección de Datos (GDPR) en Europa y otras leyes de privacidad. Las universidades holandesas, en particular, pueden tener la obligación de reportar el incidente a la Autoriteit Persoonsgegevens (Autoridad de Protección de Datos de los Países Bajos). También podrían surgir demandas colectivas similares a la presentada contra Odido en los Países Bajos si los usuarios afectados buscan compensación.

Preguntas frecuentes sobre la filtración de datos de Canvas

¿Qué es la filtración de datos de Canvas?

Es un incidente de ciberseguridad confirmado por Instructure el 1 de mayo de 2026, en el que el grupo hacker ShinyHunters robó datos personales de hasta 275 millones de usuarios de Canvas en todo el mundo.

¿Qué datos fueron robados en la filtración de Canvas?

Los datos expuestos incluyen nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes privados. Según Instructure, no se comprometieron contraseñas, fechas de nacimiento, identificaciones gubernamentales ni datos financieros.

¿Qué escuelas están afectadas por el hackeo de Canvas?

Aproximadamente 9.000 instituciones educativas a nivel global están potencialmente afectadas, incluyendo importantes universidades holandesas como la Universidad de Ámsterdam, la Universidad de Maastricht y la Universidad Erasmus de Róterdam.

¿Quién es ShinyHunters?

ShinyHunters es un grupo de hackers y extorsionistas formado alrededor de 2019, conocido por filtraciones de datos a gran escala y tácticas de 'pagar o filtrar'. Han atacado anteriormente a empresas como Odido, Ticketmaster, AT&T y Microsoft.

¿Es seguro usar Canvas después de la filtración?

Instructure ha declarado que Canvas sigue siendo seguro de usar. La empresa ha parcheado la vulnerabilidad, rotado claves API y aumentado la monitorización. Sin embargo, los usuarios deben cambiar sus contraseñas y habilitar MFA como precaución.

Fuentes

• NOS: Odido-hackers maken ook gegevens van miljoenen docenten en studenten buit
• BleepingComputer: Instructure confirma filtración de datos, ShinyHunters reclama ataque
• TechRepublic: Filtración de datos de Canvas LMS expone 275 millones de usuarios
• Secure.com: Instructure Canvas Data Breach ShinyHunters