El plataforma de educación en línea Canvas se desconectó después de una violación de datos el jueves, dejando temporalmente a los estudiantes y profesores de miles de universidades y escuelas K-12 en los EE. UU. sin acceso a materiales del curso y comunicaciones durante el período de exámenes finales.
«Estoy seguro de que en algún lugar del país cuando ocurrió la interrupción, probablemente había personas tomando exámenes finales en la plataforma cuando falló», dice Damon Linker, profesor senior de ciencias políticas en la Universidad de Pensilvania.
Treinta millones de usuarios, incluidos la mitad de las instituciones de educación superior en América del Norte, confían en Canvas para administrar cursos, enviar tareas, ver calificaciones y facilitar la comunicación, según su empresa matriz, Instructure.
Sin embargo, cuando Linker y muchos otros usuarios intentaron hacerlo el jueves por la tarde, se encontraron con una pantalla negra y un mensaje de advertencia.
«ShinyHunters ha violado a Instructure (de nuevo)», decía. «En lugar de contactarnos para resolverlo, nos ignoraron e hicieron ‘parches de seguridad’.»
ShinyHunters es la misma entidad que se adjudicó el crédito por una enorme violación de datos de Ticketmaster en 2024. Como muchos de estos grupos, es un grupo de jóvenes que trabajan juntos de forma remota, «algo así como una banda de ransomware», dice Rachel Tobac, directora ejecutiva de SocialProof Security, que entrena a personas y empresas para defenderse contra hackers.
Instructure ha confirmado una serie de violaciones de seguridad esta semana y proporcionó actualizaciones de estado en su sitio web. Dijo que la violación solo parecía involucrar información de identificación como nombres, direcciones de correo electrónico, números de identificación de estudiante y mensajes de usuario, no contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera.
Instructure confirmó en una página de preguntas frecuentes que inició una investigación después de detectar actividad no autorizada en Canvas el 29 de abril, y desconectó Canvas el jueves después de que ese mismo actor no autorizado «realizara cambios que aparecieron cuando algunos estudiantes y profesores estaban conectados». Dijeron que el actor aprovechó un problema con sus cuentas Free-for-Teacher, las cuales han sido temporalmente suspendidas.
«Todas estas acciones nos dan la confianza para restaurar el acceso a Canvas, que ahora está completamente en línea y disponible para su uso», dijo en un comunicado a NPR. «Lamentamos las molestias y la preocupación que esto pudo haber causado.»
No está claro si Instructure pagó un rescate o qué podría significar el regreso del acceso a Canvas para la fecha límite del 12 de mayo de los piratas informáticos.
Tobac dice que Canvas podría estar en línea de nuevo debido a una negociación exitosa, o porque los piratas informáticos «no avanzaron mucho en su ataque». De cualquier manera, dice que los usuarios deben permanecer vigilantes, especialmente ante mensajes de phishing, ya sea que alguien se haga pasar por Canvas para solicitar un cambio de contraseña o fingir ser un profesor enviando materiales del curso.
«Incluso si no hubo violación ayer, diría que estas son las cosas que recomiendo que hagas», agrega, instando a las personas a «ser educadamente paranoicas.»
La violación ha puesto de manifiesto cuánto depende la academia de una sola plataforma centralizada.
Linker, de UPenn, dijo a NPR que recibió una oleada de mensajes de estudiantes preocupados el jueves por la tarde cuando de repente no pudieron acceder a presentaciones, lecturas y exámenes anteriores mientras intentaban estudiar para el final del lunes.
«El problema de usar una plataforma como Canvas es que la mayoría de los estudiantes no tendrán las lecturas disponibles impresas o en sus computadoras portátiles», explica. «Todo está en la plataforma en línea, y si esa plataforma se cae, no tienen forma de acceder a ellos.»
Dijo a los estudiantes el jueves que subiría los materiales del curso a otra plataforma (como Dropbox o Google Docs) si el acceso a Canvas no se restablecía para el viernes por la mañana. Afortunadamente, dice, volvió en línea poco antes de las 9 a.m. hora del este.
Pero Linker dice que tiene preocupaciones sobre depender completamente de Canvas en el futuro.
«A la luz de lo que esto ha expuesto, la vulnerabilidad involucrada y también la preocupación con las violaciones de datos, estoy empezando a replantearme si realmente es una manera sabia de proceder», dice.
Un ejemplo de eso es la calificación. Linker dice que Canvas facilita tanto el cálculo y la ponderación de las calificaciones de los estudiantes, tanto en evaluaciones individuales como en general, que ha llegado a funcionar como un libro de calificaciones digital. En el futuro, dice que podría empezar a mantener un registro analógico de las calificaciones de los estudiantes por si acaso.
Aunque Canvas tiene competidores como Blackboard, Linker dice que no cree que ninguno sea menos vulnerable a futuras violaciones de seguridad. Y Tobac está de acuerdo.
«No es que este sitio web haya tenido este evento cibernético, ¿verdad? Porque nada en este mundo es infranqueable», dice. «Lo que tenemos que pensar es en la recuperación de desastres: ¿Cómo continuamos haciendo negocios cuando hay un evento cibernético, y cómo hacemos todo lo posible para mantener a los malos actores fuera?»
Tobac dice que esta semana ha demostrado que muchas instituciones no tenían un plan claro sobre cómo pueden estar en contacto estudiantes y profesores y acceder a los materiales del curso sin Canvas. Dice que esos planes deberían variar según las circunstancias y horarios diferentes de las escuelas, lo que podría explicar por qué algunas están procediendo con los exámenes finales como de costumbre mientras que otras están cancelando los exámenes por completo. Pero le gustaría que se aborden el período inmediato con un objetivo común.
«Temos que tratar a las personas con dignidad y respeto», dice Tobac. «Y espero que eso sea algo que las instituciones hagan, dentro de sus plazos y restricciones.»
/2026/05/09/69ff0e54e5e6b900738215.jpg "Se merecen pasar a otra cosa… El entrenador del Real Madrid Álvaro Arbeloa defiende a Aurélien Tchouameni y Federico Valverde después de su altercado")
