Los datos de tus estudiantes: la dimensión invisible de la gobernanza universitaria

El 8 de mayo de 2026, miles de estudiantes en Estados Unidos intentaron entrar a Canvas, la plataforma digital donde las universidades gestionan clases, materiales, tareas y calificaciones —para estudiar para sus exámenes finales. En lugar de sus materiales de clase, encontraron un mensaje del grupo de hackers ShinyHunters: habían comprometido la plataforma. Exigían pago. Y afirmaban tener acceso a los datos de 275 millones de personas y a varios miles de millones de mensajes privados.

Harvard, Princeton, Columbia, Georgetown y el MIT quedaron sin acceso. El FBI movilizó recursos en múltiples estados. Profesores buscaban desesperadamente las direcciones de correo de sus propios alumnos porque el único lugar donde las tenían guardadas era Canvas.

Una estudiante del MIT lo resumió en una frase: «No me había dado cuenta de qué tan grande era nuestra dependencia en ese sitio hasta que los profesores estaban buscando dónde tenían guardados nuestros correos.»

Lo que el ataque reveló
Canvas tiene más de 30 millones de usuarios activos en más de 8 mil instituciones en todo el mundo. No es solo un portal donde los estudiantes entregan tareas. Es el lugar donde viven las calificaciones, las comunicaciones entre docentes y alumnos, los materiales de clase, los videos de lectura, las guías de estudio, los registros de quién entregó qué y cuándo.

Las universidades afectadas no habían tomado una decisión consciente de concentrar toda esa información en una sola plataforma externa. Simplemente había ocurrido, una función a la vez, un semestre a la vez, hasta que Canvas se convirtió en el sistema nervioso de sus operaciones académicas sin que nadie en la IES lo hubiera discutido formalmente.

Hay un detalle del ataque que merece atención especial: la vulnerabilidad entró por las cuentas gratuitas para profesores —docentes que crearon sus propias cuentas de forma individual, fuera de los sistemas institucionales. No fue un fallo de la infraestructura central. Fue el resultado de miles de decisiones pequeñas y descentralizadas, tomadas por docentes que necesitaban una herramienta y la adoptaron sin que nadie les preguntara si era seguro hacerlo.

Eso tiene un nombre en gobernanza tecnológica: shadow IT —tecnología en la sombra. Sistemas que entran a la institución por la puerta de atrás, sin auditoría, sin contrato formal, sin política de datos. Y que solo se vuelven visibles cuando algo falla.

Las preguntas que ninguna IES está haciendo
El ataque a Canvas no es un caso aislado. ShinyHunters había atacado a Instructure —la empresa dueña de Canvas— apenas dos semanas antes, el 1 de mayo. La empresa dijo que lo había contenido. No era cierto, o no completamente. El segundo ataque llegó el 8 de mayo.

Los Ciberataques a plataformas educativas no son nuevos: en 2022, un ataque ransomware afectó los sitios web de cerca de 5 mil escuelas en Estados Unidos. Durante la pandemia, varios distritos escolares tuvieron que cerrar temporalmente por ataques similares. El patrón existe. Las universidades simplemente no habían asumido que les tocaba a ellas.

Lo que este caso le plantea a cualquier institución de educación superior en Estados Unidos y en México— son preguntas que deberían estar en la agenda de cualquier rector o directora académica hoy:
¿Qué datos genera cada plataforma que usamos? ¿Quién los tiene? ¿Bajo qué contrato y bajo qué condiciones? ¿Puede esa empresa usar los datos de nuestros estudiantes para entrenar sus propios modelos de IA? ¿Qué pasa si es hackeada, si es vendida, si cierra?

Estas no son preguntas técnicas. No le corresponden solo al área de sistemas. Son preguntas de política institucional —y su ausencia tiene consecuencias reales para estudiantes reales.

Lo que la regulación ya está diciendo
En Europa, el EU AI Act clasifica los sistemas de analítica de desempeño estudiantil y los sistemas de admisiones con inteligencia artificial como tecnología de «alto riesgo». Eso implica auditorías obligatorias, transparencia sobre cómo se usan los datos y responsabilidad clara sobre quién responde cuando algo sale mal. Las disposiciones relevantes entran en vigor en agosto de 2026.

En México no existe todavía una regulación equivalente. Pero, como analizamos en esta columna en abril, la iniciativa de Ley de Inteligencia Artificial que llegó al Senado coloca a las instituciones de educación superior como operadoras potenciales de sistemas de alto riesgo —con las obligaciones que eso implica. El marco regulatorio se está construyendo. Las instituciones no están esperando a que esté listo para actuar. O no deberían estarlo.

El problema no es la plataforma
Canvas volverá a funcionar. De hecho, ya funciona. Las universidades afectadas extendieron plazos, reorganizaron exámenes y siguieron adelante. El daño inmediato fue contenido.

Pero hay un daño más difícil de contener: el FBI advirtió que los estudiantes afectados podrían ser víctimas no solo ese día, sino años después. Los datos robados no desaparecen. Pueden usarse para fraude, para phishing personalizado, para suplantación de identidad. Un estudiante de veinte años cuyos datos fueron comprometidos en mayo de 2026 podría sentir las consecuencias a los veinticinco.

Eso convierte la gobernanza de datos estudiantiles en algo más que un tema administrativo. Es una responsabilidad de cuidado hacia las personas que una universidad tiene a su cargo.

El problema no es que Canvas exista ni que las universidades lo usen. El problema es adoptar una plataforma de esa escala sin una política que responda las preguntas básicas: qué datos cedemos, a quién, bajo qué condiciones y qué hacemos si algo sale mal.

En México, la mayoría de las universidades no tiene esa política. Y mientras no la tenga, la pregunta no es si algo puede salir mal. Es cuándo —y si la institución estará lista cuando pase.

Campus Consulting desarrolla el Índice Campus de Gobernanza Universitaria (ICGU), el primer instrumento nacional para medir el estado de preparación de las instituciones de educación superior mexicanas ante el cambio tecnológico. Registra la participación de tu institución en la convocatoria piloto 2026 y recibe tu diagnóstico y ruta de avance sin costo: https://suplementocampus.com/icgu2026/

Referencias
• CNN (2026, 8-9 de mayo). What we know about the Canvas hack that has impacted thousands of schools. https://edition.cnn.com/2026/05/07/us/canvas-hack-strands-college-students-finals-week
• Instructure (2026, mayo). Declaraciones públicas sobre el incidente de seguridad de Canvas.
• The Education Magazine (2026, marzo). EU AI Act and higher education: What universities need to know before August 2026.
• Medina Armienta, V. (2026, 23 de abril). Inteligencia artificial, regulación y universidades: lo que viene, cómo afecta y qué hacer. Suplemento Campus, Grupo Milenio.
• FBI (2026, mayo). Public statement on Canvas cyberattack. Citado en: CNN (2026, mayo).