El grupo de ciberdelincuentes ShinyHunters aseguró haber comprometido la plataforma educativa Canvas, desarrollada por Instructure, en un incidente que habría expuesto información de más de ocho mil instituciones educativas y organismos de distintos países, incluidas universidades mexicanas y el Instituto Nacional Electoral (INE).
De acuerdo con un análisis publicado por SILIKN, el caso se hizo público después de que los atacantes difundieran un mensaje dirigido a las organizaciones presuntamente afectadas. En esa comunicación, establecieron como fecha límite el 7 de mayo de 2026 para que las instituciones se pusieran en contacto con ellos y negociaran un acuerdo, con la advertencia de que, de no hacerlo, divulgarían la totalidad de los datos obtenidos.
En el mismo mensaje, ShinyHunters sostuvo que Instructure no había mostrado disposición para abordar el incidente ni para proteger a los estudiantes y organizaciones involucradas. El grupo también fijó el 12 de mayo como plazo para que la empresa iniciara conversaciones.
Los atacantes afirmaron que las demandas económicas no eran tan elevadas como podría pensarse y señalaron que negarse a pagar solo agravaría las consecuencias del incidente.
SILIKN identificó entre las entidades mexicanas incluidas en el listado difundido por el grupo a la Universidad Autónoma de Guadalajara, la Universidad de Monterrey, la Universidad Tecnológica Metropolitana, la Universidad Anáhuac, el Instituto Tecnológico Autónomo de México (ITAM) y el Instituto Tecnológico de Tijuana.
La aparición del Instituto Nacional Electoral (INE) también llamó la atención, debido a que no se trata de una institución de educación superior.
La relación de organizaciones presuntamente comprometidas abarca universidades de reconocimiento internacional, entre ellas Harvard, Stanford, MIT, Oxford, Cambridge, Columbia, Yale, Princeton y Berkeley, así como sistemas públicos de educación básica y media superior en Estados Unidos, Australia, Europa, Asia, América Latina y Medio Oriente.
Asimismo, figuran departamentos de educación estatales en Estados Unidos, grandes distritos escolares, colegios comunitarios y organismos de capacitación técnica y profesional en numerosos países.
Según la unidad de investigación de SILIKN, la información obtenida consistiría principalmente en nombres completos y direcciones de correo electrónico de los usuarios registrados en Canvas, lo que incluye sobre todo a estudiantes, aunque también podría involucrar a docentes y personal administrativo.
Poco antes de que el servicio de Canvas fuera restablecido de manera parcial, el propio grupo retiró de circulación el listado de instituciones afectadas. Esta acción generó dudas sobre si Instructure aceptó pagar el rescate o si las negociaciones continúan.
Hasta ahora no existe una confirmación oficial sobre algún acuerdo entre la empresa y los atacantes.
Aunque los datos expuestos aparentemente se limitan a nombres y correos electrónicos, esa información puede ser utilizada para campañas de phishing dirigidas, suplantación de identidad, envío de mensajes fraudulentos y accesos no autorizados a plataformas vinculadas con esas credenciales.
Ante este escenario, se recomienda a las instituciones incluidas en el listado y a sus comunidades revisar con cautela cualquier comunicación inusual, verificar actividades sospechosas en sus cuentas y, de ser necesario, actualizar las contraseñas de Canvas y de los servicios asociados al correo institucional.
Las organizaciones señaladas deberán determinar, con apoyo de sus equipos de ciberseguridad o de firmas especializadas, el alcance real de la exposición de información y comunicar lo conducente a sus comunidades conforme a las disposiciones legales aplicables en cada jurisdicción.
er
