Incidente de seguridad digital en Instructure y su impacto en la plataforma Canvas

A finales de abril y principios de mayo de 2026, el ámbito educativo global se vio afectado por un incidente de seguridad digital que puso en jaque las infraestructuras de aprendizaje en línea. La vulnerabilidad comenzó a ser detectada internamente por la compañía proveedora tecnológica Instructure el 25 de abril. Durante este periodo, coincidente con la época de exámenes finales, la agresión digital paralizó los servicios habituales de miles de campus y generó una alarma internacional ante la exposición masiva de registros confidenciales.
El ciberataque fue perpetrado por el reconocido grupo de extorsión informática ShinyHunters, el cual logró vulnerar los sistemas de producción de Instructure y comprometer la plataforma Canvas. Este, afectó a unas 9.000 escuelas de educación primaria y secundaria junto con prestigiosas universidades a nivel mundial, poniendo en riesgo la información personal e identificativa de más de 200 millones de estudiantes y docentes. Entre los datos sustraídos se incluyeron nombres completos, direcciones de correo electrónico, números de identificación académica y miles de millones de mensajes privados intercambiados dentro del sistema, aunque la empresa aclaró que las contraseñas y la información financiera quedaron a salvo. Ante el secuestro visual de las pantallas de inicio de sesión de Canvas por parte de los atacantes para exigir un rescate económico, las instituciones académicas se vieron obligadas a aplicar cierres forzados de sesión, implementar alternativas de conexión de emergencia y alertar a sus comunidades frente a posibles campañas fraudulentas de suplantación de identidad (phishing). 
En la actualidad, la situación crítica e inmediata de parálisis operativa se encuentra resuelta tras el restablecimiento del servicio y la intervención de agencias federales de seguridad como el FBI. Instructure emitió un comunicado oficial confirmando que lograron un acuerdo con los atacantes antes de que expirara el ultimátum fijado para el 12 de mayo, obteniendo la recuperación de los datos y pruebas digitales verificables sobre la total destrucción de los registros robados por parte de los ciberdelincuentes.