Canvas se cayó dos veces. Aquí lo que cada distrito debe preguntarle a sus proveedores ya.
En mayo de 2026, el grupo de hackers ShinyHunters le dio un golpe doble al sistema de gestión educativa Canvas de Instructure. No una vez — sino dos. Se llevaron alrededor de 3.65 terabytes de datos de 275 millones de usuarios en 8,809 instituciones en todo el mundo. Nombres de estudiantes, correos escolares, números de identificación, mensajes privados entre maestros y alumnos.
Canvas corre el backend en el 41% de las universidades de Norteamérica y miles de distritos K-12. Si tu distrito usa Canvas — aunque sea de pasada — tú también estás en esa lista. Instructure pagó el rescate. Los atacantes dicen que los datos ya están destruidos. Pero la confianza, esa no se recupera tan fácil.
No escribimos esto para asustar a nadie. Lo escribimos porque hay una lección clara que todo superintendente, director, jefe de TI y miembro de la junta escolar debe llevarse: y no es sobre Canvas en específico. Es sobre cómo las escuelas eligen a sus proveedores de tecnología.
### Cómo entraron
Instructure tenía un programa llamado "Free-For-Teacher". Cualquier maestro, en cualquier parte, podía registrarse sin verificación institucional. Sin aprobación del distrito, sin revisar el dominio, sin ningún filtro. Ese plan gratuito corría en la misma infraestructura que los clientes que pagaban. Mismos servidores. Misma base de datos. Mismas máquinas físicas.
ShinyHunters no rompieron la puerta principal de ninguna escuela que pagaba. Caminaron por la puerta de entrada del "Free-For-Teacher" con una cuenta gratis, y desde adentro de esa misma infraestructura compartida, dieron vuelta y accedieron a los datos de producción de las escuelas que pagaban a Instructure para mantenerlos seguros.
Este es el modelo de SaaS multi-tenant. Tus datos están en la misma habitación que los de todos los demás clientes, separados por una pared de software. A veces esas paredes aguantan. A veces — como aquí — no.
Shared cloud tenancy
On-premise sovereignty
### Qué significa esto para tu distrito
Tres cosas concretas van a caer sobre el escritorio de los superintendentes, si aún no lo han hecho:
Spear-phishing. Ahora los atacantes tienen los correos, nombres y escuelas de los estudiantes. Los próximos 6 a 12 meses traerán phishing dirigido a las familias: "Hola, soy la directora X de la escuela de tu hijo, ¿puedes hacer clic aquí para verificar...?" Entrena a tu personal y avisa a los padres YA.
Exposición a FERPA. La ley federal de privacidad estudiantil probablemente se violó. El encargado de cumplimiento de tu distrito debe estar en una llamada con el abogado esta semana — no el mes que viene.
Limpieza de integraciones por API. La mayoría de los distritos conectan los datos de Canvas con diez o más herramientas: libretas de calificaciones, asistencia, apps para padres. Si Canvas se filtró, cualquier cosa que se autenticara contra ella podría necesitar rotación de credenciales y auditoría.
### Cuatro preguntas que todo distrito debe hacerle a cada proveedor YA
No importa si es Canvas, Google, Microsoft, Zoom o la próxima startup de ed-tech que venga a la junta escolar. Pregúntales esto:
1. ¿Dónde vive físicamente nuestros datos estudiantiles? País, región, centro de datos. Si no pueden responder en una oración, ahí tienes tu respuesta.
2. ¿Nuestros datos están aislados o comparten infraestructura con otros clientes? "Multi-tenant" significa compartido. Pregunta qué los separa físicamente de los demás.
3. ¿Tienen un plan gratuito conectado a nuestro entorno de producción? Esta es la pregunta tipo Canvas. Si sí, entonces tienes una puerta trasera con tu nombre escrito.
4. ¿Podemos correr esto en nuestro propio hardware? Lo on-premise es una opción real. Los proveedores que digan "no, nunca" te están diciendo algo sobre sus prioridades.
### Qué construye Brown Forces
Hace dos años que decimos esto: cuando tus datos viven en la nube de alguien más, detrás de un formulario de registro gratis, en infraestructura compartida con desconocidos — has perdido el control. La soberanía no es opcional. Es la base.
Obsidian AI es el dispositivo de IA on-premise que construimos para organizaciones que no pueden permitirse perder el control de sus datos. Funciona en tu edificio, en tu hardware, detrás de tu firewall. Nada multi-tenant. Ningún plan gratis conectado a tu producción. Ninguna infraestructura compartida. Lo que le pasó a Canvas no puede pasarle a Obsidian, porque su arquitectura no lo permite.
Si eres un administrador de distrito leyendo esto y quieres una charla de treinta minutos — sin pitch de ventas, solo "¿cuáles son mis opciones reales?" — escríbeme directamente. Salvador Alvarez, fundador. salvador@brownforces.io.
No construimos Obsidian como respuesta a Canvas. Lo construimos porque ya veíamos venir este tipo de brecha. El evento de Canvas es la primera prueba pública grande, no la última.
Why this matters for us: Un distrito en el Coachella Valley con 80% de estudiantes latinos tiene los mismos derechos de soberanía de datos que una empresa de tecnología en Palo Alto. Cuando una brecha de proveedor expone los nombres, IDs y mensajes de los maestros de nuestros niños, el daño no cae por igual — nuestras comunidades tienen menos margen para las consecuencias. La soberanía no es solo una elección de seguridad. Es una elección de equidad.