⚡ Tecnología
Millones de estudiantes de EE.UU. tienen sus datos secuestrados — el hackeo a Canvas que paralizó escuelas
Imagina que estás a punto de dar tu examen final y de repente —puf— la plataforma donde estudiaste todo el semestre desaparece. No puedes acceder a tus notas, tus tareas, nada. Y al día siguiente recibes un correo: "Tus datos personales están en manos de criminales. Paga o los publicamos."
Eso no es una película de terror. Es lo que pasó esta semana con Canvas, el sistema de gestión educativa (LMS) más grande de Estados Unidos, usado por más de 6,000 escuelas, universidades y distritos escolares en todo el país.
Y lo peor: Instructure, la empresa dueña de Canvas, pagó el rescate en secreto.
¿Qué pasó exactamente?
El ataque comenzó como un ransomware clásico: los hackers infiltraron los servidores de Instructure, cifraron los datos y exigieron un pago multimillonario a cambio de no filtrar todo. Pero esto no fue un robo silencioso — millones de estudiantes recibieron amenazas directas de extorsión.
Según reportes de Krebs on Security, NPR y CNN, los atacantes accedieron a nombres completos, direcciones de correo electrónico, números de teléfono, direcciones físicas y, en algunos casos, información financiera de estudiantes y padres de familia.
El mensaje de los hackers era simple: "PAY OR LEAK" — paga o filtramos todo.
Escuelas paralizadas en plena temporada de exámenes
El golpe no pudo llegar en peor momento. Julio es temporada de exámenes finales, proyectos de cierre de semestre y admisiones universitarias. Cientos de miles de estudiantes quedaron varados sin poder acceder a sus cursos, subir tareas o ver sus calificaciones.
La Universidad de California, el distrito escolar de Los Ángeles (el segundo más grande del país) y decenas de otras instituciones tuvieron que cancelar exámenes presencialmente y extender fechas de entrega. Algunos estudiantes recibieron amenazas directas por correo electrónico: "Sabemos dónde vives. Paga o publicamos tu información."
Sí, los hackers amenazaron físicamente a estudiantes de secundaria y universidad.
El rescate secreto de Instructure
Aquí viene lo turbio. Según Inside Higher Ed y Cybersecurity Dive, Instructure llegó a un "acuerdo" con los atacantes. Traducción: pagaron el rescate.
La empresa no ha confirmado el monto, pero fuentes cercanas estiman que fue entre $5 y $15 millones. La plataforma volvió a estar en línea en menos de 48 horas, lo que sugiere que tenían las llaves de descifrado antes de lo esperado.
¿El problema? Pagar un rescate no garantiza nada. Los datos ya fueron copiados. Los hackers pueden filtrarlos igual, venderlos en la dark web o usarlos para ataques futuros. De hecho, Malwarebytes reportó que algunos estudiantes siguen recibiendo amenazas incluso después de que Canvas volvió a funcionar.
¿Qué datos exactamente se robaron?
Según la National Cybersecurity Alliance, los datos comprometidos incluyen:
- 📋 Nombres completos y fechas de nacimiento
- 📧 Correos electrónicos institucionales y personales
- 📞 Números de teléfono
- 🏠 Direcciones físicas de estudiantes y sus familias
- 💳 Información financiera en algunos casos (datos de becas, pagos de matrícula)
- 📝 Historial académico completo (notas, expedientes, récords disciplinarios)
Esto no es solo "robo de datos". Es material para extorsión, robo de identidad y estafas dirigidas durante los próximos años. Cada estudiante afectado tiene ahora un blanco en la espalda.
Lecciones para LATAM: esto también te puede pasar
Si crees que esto solo pasa en EE.UU., piensa de nuevo. En América Latina, plataformas como Google Classroom, Moodle, Schoology y Blackboard son igual de populares — y muchas instituciones las usan sin medidas de seguridad adecuadas.
Tres cosas que puedes hacer AHORA para protegerte:
- 🔐 No uses la misma contraseña de tu escuela en ningún otro lado. Si la filtran, los hackers probarán en tus redes sociales, banco y email.
- 📱 Activa autenticación de dos factores (2FA) en tu cuenta educativa y personal. Esto bloquea el 99% de los accesos no autorizados.
- ⚠️ Desconfía de correos sospechosos. Los hackers usan los datos robados para hacer phishing hiperpersonalizado — saben tu nombre, tu escuela, tu dirección. Si un correo te pide hacer clic en algo, verifica primero llamando a tu institución.
El problema más grande: la educación depende de software privado
El hackeo a Canvas revela una verdad incómoda: la infraestructura educativa de todo un país depende de una sola empresa privada. Cuando Instructure cayó, no solo cayeron los servidores — cayeron exámenes, calificaciones, admisiones universitarias y la tranquilidad de millones de familias.
Y esto no es aislado. En los últimos dos años, PowerSchool, Blackboard y ClassLink también sufrieron brechas de seguridad masivas. El sector educativo es el nuevo blanco favorito de los ransomware porque las escuelas siempre pagan — no pueden permitirse estar offline.
¿La solución? Cifrado de extremo a extremo, copias de seguridad fuera de línea y, sobre todo, no depender de un solo proveedor. Pero mientras las escuelas sigan recortando presupuestos de TI, esto seguirá pasando.
Comparte esto con un estudiante, un profesor o un padre de familia. Porque la próxima vez podría ser tu escuela, tu hijo o tus datos.