Un ciberataque contra una de las plataformas de educación digital más grandes del mundo ha puesto de manifiesto la vulnerabilidad de los datos de las escuelas estadounidenses.
Instructure, la empresa detrás de Canvas, un sistema de gestión del aprendizaje utilizado por miles de escuelas y que cuenta con 30 millones de usuarios activos , sufrió una interrupción en su servicio a finales de la semana pasada. Según un comunicado de la compañía , unos hackers vulneraron la cuenta gratuita de Instructure para profesores, es decir, aquellas cuentas que se ofrecen específicamente para dar acceso a los cursos de Canvas.
Según informa Security Week , el grupo de ciberdelincuentes ShinyHunters afirma haber robado 275 millones de registros de aproximadamente 9.000 instituciones educativas de todo el mundo.
A principios de esta semana, Instructure publicó un comunicado en el que afirmaba haber llegado a un acuerdo con los hackers para devolver los datos robados y haber recibido confirmación digital de su destrucción, además de la garantía de que ninguno de sus clientes sería extorsionado. El comunicado no especificaba qué ofreció Instructure a cambio. Sin embargo, anunciaba un seminario web con la directiva de Instructure programado para el miércoles.
Según Instructure, esta es la segunda filtración de datos en lo que va del año. La más reciente incluyó la filtración de direcciones de correo electrónico, nombres de usuario, información de inscripción y nombres de cursos de clientes, incluidos profesores y estudiantes.
Los ataques se produjeron en torno a los exámenes finales de muchas universidades. Canvas volvió a estar en línea el sábado, según una nota sobre el incidente en el sitio web de Instructure . Sin embargo, al menos seis universidades y distritos escolares en una docena de estados enviaron alertas indicando que se habían visto afectados por el ataque, según informó CNN . Antes del acuerdo de Instructure, CNN señaló que ShinyHunters había fijado el martes como fecha límite para que las escuelas negociaran un acuerdo.
El sector educativo es un objetivo atractivo para los hackers, y los expertos lo describen como un sector con muchos objetivos pero pocos recursos .
Esta brecha de seguridad se produce en medio de una enorme frustración y una fuerte oposición legislativa a la creciente dependencia de las escuelas de la tecnología educativa desde que los cierres por la pandemia las obligaron a adoptar rápidamente la enseñanza y las herramientas digitales. Algunos se preguntan si estos ataques plantean interrogantes complejos sobre la confianza y la capacidad de respuesta de las escuelas cuando se ataca a proveedores externos.
Si bien este último incidente ha reavivado la atención, los ciberataques contra las escuelas no son una preocupación nueva. De hecho, la ciberseguridad fue identificada como una de las principales preocupaciones en el pronóstico de tendencias de EdSurge para 2025 .
De hecho, la frecuencia de los ataques ha aumentado drásticamente en los últimos años contra instituciones de educación superior y escuelas de primaria y secundaria, y algunos expertos temen que la IA esté haciendo que los ataques sean más sofisticados.
Las cifras son alarmantes. Por ejemplo, el 82 por ciento de las organizaciones de educación primaria y secundaria reportaron un incidente de ciberseguridad, según un informe de 2025 del Centro para la Seguridad en Internet , que registró 9300 incidentes confirmados.
Las escuelas han tenido dificultades para encontrar la manera de responder a las nuevas amenazas de ciberseguridad. Estos son algunos de los aspectos más destacados de los últimos años:
- 2022: Un ciberataque contra Illuminate Education tuvo gran repercusión. En 2018, la Unión Europea aprobó el Reglamento General de Protección de Datos (RGPD), que aclara qué nivel de protección de datos deben tener padres, profesores y alumnos. Sin embargo, unos años después, durante el ataque a Illuminate, los expertos señalaron que en Estados Unidos no existía un consenso nacional, aunque algunos estados comenzaban a aprobar legislación al respecto.
- 2022: Más tarde ese año, después de un ataque importante contra el Distrito Escolar Unificado de Los Ángeles, uno de los más grandes del país, los expertos advirtieron a EdSurge que las escuelas representan «focos de información altamente sensible». En ese ataque, una banda de ransomware vertió 500 GB de archivos, incluida información sensible de estudiantes y maestros, en la web oscura cuando el distrito se negó a pagar .
- 2025: Al comienzo del segundo mandato de la administración Trump, los expertos señalaron que los ataques federales coordinados se habían visto afectados por los recortes, lo que debilitó el apoyo federal a las escuelas . En ese momento, los distritos indicaron que operaban «a ciegas» y que el futuro de la ciberseguridad era incierto.
- 2025: En una serie de dos partes de EdSurge, titulada « Bajo asedio: cómo las escuelas se defienden de las crecientes amenazas cibernéticas », la periodista Ellen Ullman analizó cómo los distritos escolares de todo el país están respondiendo al aumento de incidentes cibernéticos relacionados con la IA. El reportaje de Ullman reveló que muchas escuelas siguen teniendo deficiencias en los fundamentos de la ciberseguridad, y que las escuelas pequeñas se están convirtiendo en objetivos atractivos para los ciberdelincuentes. Las escuelas están aprendiendo que la primera línea de defensa contra las estafas son los seres humanos, señala Ullman.
Algunos argumentan que los ataques más recientes son una señal de que las instituciones necesitan tener expectativas más realistas en materia de ciberseguridad, ya que las auditorías y certificaciones en las que se basan actualmente no están protegiendo los datos de los estudiantes.
“Con demasiada frecuencia, sirven como mero formalismo para cumplir con la normativa y como débiles escudos contra la responsabilidad legal”, escribió Douglas Levin, director nacional de K12 Security Exchange Information, en las redes sociales.
A lo largo de los años, los expertos en ciberseguridad han compartido una serie de consejos para que las escuelas se mantengan seguras, desde la formación del personal y los alumnos hasta la búsqueda de ayuda externa para hacer frente a la creciente amenaza.
Ante ataques cada vez más sofisticados, existe más presión que nunca para que las escuelas protejan los datos de los estudiantes a pesar de todos los desafíos.
Fuente: edsurge.com
