30 millones de usuarios. Esa es aproximadamente la base activa de Canvas. Instructure lo ejecuta. Miles de escuelas estadounidenses lo utilizan para calificar, enseñar y gestionar el caos. Luego, los piratas informáticos lo cerraron a finales de la semana pasada.
El objetivo era específico. Las cuentas “gratuitas para profesores” de Instructure fueron violadas. Esos son los portales que dan acceso directo a los educadores. El grupo ShinyHunters se atribuyó el mérito. Reclaman 275 millones de registros robados. Alrededor de 9.000 instituciones involucradas. Security Week informó las cifras.
El miércoles por la mañana, Instructure anunció un acuerdo. Los piratas informáticos devolverían los datos. O al menos borrarlo digitalmente. La compañía dijo que recibió confirmación. Además, una garantía de que los clientes no sufrirían extorsión. No mencionaron el pago de un rescate. Acaban de programar un seminario web para discutir sobre “liderazgo”.
Este no es un territorio nuevo. Instructure admite que es la segunda infracción este año. Correos electrónicos. Nombres de usuario. Nombres de los cursos. Todos expuestos. Justo cuando las universidades se están ahogando en los exámenes finales.
Canvas volvió a estar en línea el sábado. Sin embargo, seis universidades y decenas de distritos escolares emitieron alertas. CNN señaló que ShinyHunters fijó como fecha límite el martes para las negociaciones. Suena familiar.
¿Por qué escuelas? Porque son “ricos en objetivos, pobres en recursos”. Los expertos utilizan esas palabras con frecuencia.
Nos precipitamos hacia la tecnología educativa durante la pandemia. Sin entrenamiento. Sin redes de seguridad. Ahora nos preguntamos si podemos confiar en estos proveedores. Si Canvas no puede proteger su propia casa, ¿puede hacerlo el distrito?
Con demasiada frecuencia sirven como teatro de cumplimiento.
EdSurge calificó la ciberseguridad como una de las principales tendencias para 2025. Quizás eso fue optimista. Los ataques están aumentando en la educación superior y K-12. La IA los está haciendo más nítidos. El 82 por ciento de K-Here is a K-12 org informó de un incidente recientemente. Eso es según el Centro para la Seguridad de Internet. Más de 9.300 confirmaciones.
Así es como llegamos aquí:
- 2018: La UE aprobó el RGPD. Reglas claras.
- 2022: Illuminate Education recibió un golpe. Estados Unidos todavía no tenía un consenso nacional. Sólo leyes estatales dispersas.
- 2022: LAUSD se negó a pagar el rescate. Gang arrojó 500 GB en la web oscura. “Ollas de miel”, llamaban los expertos a las escuelas.
- 2025: Administración temprana de Trump. Los recortes afectan el apoyo federal a la ciberseguridad. Los distritos dicen que están trabajando “en la oscuridad”.
- 2025: EdSurge informó sobre distritos que luchan contra las amenazas de IA. Las escuelas pequeñas son blancos fáciles. En realidad, la mejor defensa son las personas. No cortafuegos. Gente.
Douglas Levin lo expresa sin rodeos en las redes sociales. Las auditorías actuales son escudos débiles. Teatro de cumplimiento.
El personal necesita formación. Los niños necesitan conciencia. Pero los presupuestos son ajustados. Las amenazas se vuelven más inteligentes. Los datos siguen siendo riesgosos.
¿Qué sucede cuando la próxima alerta llega a las 3 a.m. de un martes?
