La escuela conectada ya es un objetivo: por qué la ciberseguridad ha entrado en el aula

La educación digital dejó hace tiempo de ser una ayuda puntual. Hoy es el lugar donde se entregan trabajos, se corrigen exámenes, se publican notas, se convocan clases, se comunican docentes y familias, se guardan expedientes y se gestionan identidades de alumnado, profesorado y personal administrativo.

Durante años el debate se centró en la modernización: más dispositivos, más plataformas, más aulas virtuales, más recursos online. La pregunta era si la tecnología ayudaba a enseñar mejor.

Ahora hay otra pregunta encima de la mesa: qué pasa cuando esa tecnología cae, se bloquea, filtra datos o depende de un proveedor externo que sufre un incidente de seguridad.

El caso de Canvas ha servido como aviso. Canvas, propiedad de Instructure, es una de las plataformas de aprendizaje más utilizadas en universidades, centros educativos y organizaciones de formación. En mayo de 2026, la compañía comunicó una incidencia de seguridad que incluyó accesos no autorizados y modificaciones en páginas que veían algunos estudiantes y docentes al iniciar sesión. Instructure llegó a poner el servicio temporalmente en mantenimiento para contener la actividad, investigar y aplicar medidas adicionales.

En España, la Universitat Oberta de Catalunya informó de que la brecha del proveedor había afectado a parte de su comunidad. Según la universidad, no se vio alterado el funcionamiento de las aulas, pero sí quedaron expuestos algunos datos de personas vinculadas a la institución.

El punto importante no es solo Canvas. Es lo que revela: la educación depende cada vez más de plataformas privadas, servicios en la nube, integraciones de terceros y sistemas de identidad. Cuando una pieza falla, el problema ya no queda en manos del departamento técnico. Puede afectar a clases, evaluaciones, comunicaciones internas, protección de datos, reputación institucional y continuidad académica.

La educación digital empieza a parecerse a un servicio esencial

Hablar de la educación digital como infraestructura crítica tiene sentido desde el punto de vista práctico, pero conviene no mezclarlo todo.

En España, las infraestructuras críticas están reguladas por la Ley 8/2011 y vinculadas a sectores estratégicos definidos legalmente. La educación, como sector general, no aparece equiparada a energía, transporte, agua, salud, sistema financiero o telecomunicaciones. Por tanto, una plataforma educativa no es automáticamente infraestructura crítica en sentido jurídico estricto.

Dicho eso, muchas plataformas educativas ya funcionan como servicios esenciales.

Una universidad que pierde su campus virtual durante una semana puede quedarse sin entregas, tutorías, materiales, evaluaciones, comunicaciones y registros académicos. Un instituto que pierde acceso a su sistema de gestión puede tener problemas con expedientes, autorizaciones, comunicaciones familiares o información sensible del alumnado. Una administración educativa que sufre una filtración de datos no afronta una simple avería: puede exponer información personal de menores y familias.

La diferencia es importante. Jurídicamente puede que no siempre hablemos de infraestructura crítica. Funcionalmente, una parte de la educación digital ya se comporta como tal.

La superficie de ataque ha crecido más rápido que la seguridad

La digitalización educativa avanzó deprisa, sobre todo después de la pandemia. Centros y universidades incorporaron aulas virtuales, videoclases, repositorios compartidos, libros digitales, credenciales institucionales, aplicaciones de evaluación, plataformas editoriales y herramientas de comunicación con familias.

Ese salto permitió mantener la actividad académica en momentos difíciles. También abrió muchas puertas.

Un centro educativo ya no protege solo los ordenadores de secretaría. Protege cuentas de correo, sistemas de notas, plataformas de aprendizaje, dispositivos de docentes, redes WiFi, bases de datos de alumnado, aplicaciones móviles, servicios cloud, sistemas de videoconferencia, integraciones con editoriales y canales de comunicación internos.

La dificultad está en que muchos centros no tienen una estructura tecnológica proporcional a esa responsabilidad. En colegios e institutos, la gestión digital suele apoyarse en equipos pequeños, docentes con horas de coordinación TIC, servicios externalizados o recursos compartidos por la administración educativa. En universidades hay más músculo técnico, pero también más complejidad: miles de cuentas, investigación, laboratorios, datos personales, servicios descentralizados y una cultura de apertura que forma parte de la vida académica.

La educación no puede operar como un banco. Necesita abrirse. Hay alumnado que entra y sale, docentes invitados, familias, prácticas externas, convenios, investigadores, bibliotecas digitales, plataformas editoriales y accesos desde dispositivos muy distintos. Esa apertura es necesaria, pero también la convierte en un objetivo atractivo.

El ransomware ya ha parado universidades

El ataque sufrido por la Universidad Autónoma de Barcelona en 2021 sigue siendo uno de los ejemplos más claros en España. La universidad tuvo que desconectar servicios internos, web, correo y sistemas en la nube. Estudiantes y docentes recurrieron durante días a soluciones improvisadas.

La imagen resume bien el riesgo: una universidad moderna obligada a volver temporalmente a métodos analógicos porque su infraestructura digital no estaba disponible.

El ransomware encaja especialmente mal en la educación. Bloquea sistemas y, muchas veces, también implica robo de información. Restaurar servidores no basta. Hay que saber qué datos se han visto afectados, comunicarlo, activar obligaciones legales, recuperar servicios y reconstruir la confianza.

Además, el calendario académico añade presión. Un ataque durante exámenes, admisiones, cierre de actas o matrícula tiene más capacidad de daño que el mismo ataque en un periodo de menor actividad.

Los informes internacionales llevan años señalando a la educación como un sector expuesto. El informe de Sophos sobre ransomware en educación de 2025 recoge respuestas de responsables tecnológicos de centros educativos y universidades. ENISA, la agencia europea de ciberseguridad, coloca el ransomware, las amenazas contra los datos y los ataques contra la disponibilidad entre los riesgos más relevantes del panorama europeo.

No es casualidad. La educación concentra datos personales, entornos distribuidos, presupuestos ajustados y una fuerte necesidad de volver a funcionar cuanto antes.

Los datos escolares valen más de lo que parece

Se suele pensar que un centro educativo guarda notas, matrículas y correos electrónicos. Es una visión muy corta.

Los colegios, institutos, universidades y administraciones educativas pueden manejar nombres, direcciones, teléfonos, DNI, fechas de nacimiento, datos de tutores, necesidades educativas especiales, informes psicopedagógicos, datos médicos, becas, sanciones, expedientes disciplinarios, imágenes, comunicaciones internas y credenciales.

Cuando hablamos de menores, el riesgo aumenta.

El ciberataque reconocido por la Junta de Castilla y León en 2025 mostró esa dimensión. Según la información publicada entonces, el incidente afectó a datos personales de alumnos y tutores del sistema educativo regional. Entre ellos, nombres, apellidos, DNI, fechas de nacimiento, nacionalidad, dirección, teléfono y correo electrónico.

La filtración no termina cuando se cierra el expediente técnico. Esos datos pueden servir para suplantaciones, fraude, phishing dirigido, acoso o extorsión. Si un atacante conoce el nombre del alumno, su centro, los datos de su familia y un canal de contacto, puede construir mensajes muy creíbles.

Por eso la ciberseguridad educativa no va solo de antivirus, contraseñas o firewalls. Va de privacidad, infancia, continuidad académica y confianza pública.

El proveedor también forma parte del centro

Uno de los cambios más incómodos de la educación digital es que buena parte del riesgo ya no está dentro del centro. Está en la cadena de proveedores.

Las instituciones educativas dependen de plataformas LMS, servicios de autenticación, almacenamiento en la nube, videoconferencias, aplicaciones de evaluación, soluciones de mensajería, editoriales digitales y sistemas de gestión académica. Cada integración resuelve un problema, pero también puede abrir otro.

El caso Canvas encaja ahí. La UOC no comunicó un ataque directo contra sus propios sistemas, sino una afectación derivada de una brecha en un proveedor. Para la institución esa distinción es importante. Para el usuario afectado, bastante menos: si sus datos quedan expuestos, el origen técnico del incidente no cambia demasiado la percepción del daño.

Esto obliga a revisar cómo se compra tecnología educativa. Durante años han pesado mucho el precio, la facilidad de uso y las funcionalidades. Ahora hay que hacer otras preguntas: dónde se alojan los datos, quién puede acceder, qué subcontratistas intervienen, cómo se cifran, qué registros de actividad existen, cómo se notifican incidentes, qué plazo de respuesta se garantiza y qué ocurre al terminar el contrato.

La contratación de tecnología educativa no puede tratar la seguridad como un anexo. Si una plataforma gestiona datos de menores o expedientes académicos, debe poder acreditar cómo los protege.

Protección de datos: mucho más que una casilla legal

La Agencia Española de Protección de Datos lleva años advirtiendo de los riesgos en centros educativos. Su guía específica recuerda la obligación de designar delegado de protección de datos en los términos previstos por la normativa y de llevar un registro de actividades de tratamiento.

También ha abordado cuestiones muy prácticas: uso de aplicaciones en la nube, publicación de imágenes de menores, comunicación con familias, tratamiento de datos por terceros y empleo de herramientas externas a las plataformas educativas oficiales.

En el día a día, muchos centros se mueven entre la necesidad y la improvisación. Docentes que usan herramientas gratuitas porque funcionan mejor que las oficiales. Documentos compartidos con permisos demasiado abiertos. Grupos de comunicación informales. Formularios externos. Fotografías de actividades escolares. Listados enviados por correo. Contraseñas reutilizadas. Dispositivos personales mezclados con información profesional.

No siempre hay negligencia. Muchas veces hay falta de tiempo, falta de soporte y soluciones oficiales poco ágiles. Pero la falta de recursos no elimina el riesgo ni las obligaciones.

Aquí las administraciones tienen una responsabilidad clara. No basta con trasladar el peso al profesorado o a los equipos directivos. Si el sistema exige trabajar en digital, debe ofrecer herramientas seguras, soporte técnico, instrucciones claras y alternativas realistas.

El alumnado no es “nativo seguro”

Durante años se ha repetido que los jóvenes son nativos digitales. La frase ha hecho daño porque confunde uso con competencia.

Un alumno puede moverse con soltura por redes sociales, plataformas educativas y aplicaciones móviles, y aun así no entender bien los riesgos de compartir credenciales, reutilizar contraseñas, aceptar enlaces, instalar extensiones, subir imágenes o entregar datos personales a herramientas de inteligencia artificial.

La ciberseguridad también es educación digital. Y debería trabajarse como una competencia práctica, no como una charla puntual.

Hace falta enseñar a reconocer intentos de phishing, configurar la privacidad, proteger cuentas, entender qué datos se comparten, detectar suplantaciones, actuar ante chantajes digitales y pedir ayuda sin miedo. Esto afecta al alumnado, pero también a docentes, familias y personal administrativo.

El factor humano se cita a menudo como el punto débil. En educación esa idea se queda corta. El usuario no es una persona aislada que hace clic donde no debe. Es una tutora con decenas de alumnos, un administrativo con plazos, una familia que recibe mensajes por varios canales, un profesor que trabaja desde casa o un alumno que usa la misma contraseña en cinco servicios.

La seguridad tiene que diseñarse pensando en esas condiciones reales.

IA, deepfakes y ciberacoso: el problema ya no está solo en los servidores

La ciberseguridad educativa ya no se limita a proteger redes, cuentas y bases de datos. La inteligencia artificial generativa ha ampliado el perímetro del riesgo.

Los deepfakes, la manipulación de imágenes, la suplantación de identidad, la difusión no consentida de contenidos y el acoso digital forman parte del nuevo escenario. El protocolo nacional contra el acoso escolar presentado en 2026 ya incorpora esa preocupación y contempla nuevas formas de agresión digital asociadas a la IA.

Esto cambia la conversación. La seguridad digital en educación tiene una parte técnica, pero también una parte convivencial y pedagógica. Una cuenta comprometida puede servir para acceder a datos, pero también para acosar. Una imagen robada puede alimentar una extorsión. Una plataforma educativa puede ser un canal de aprendizaje, pero también un espacio de exposición si no hay controles adecuados.

La respuesta no puede quedar solo en manos de informática. Deben intervenir equipos directivos, orientación, inspección, protección de datos, familias y, cuando sea necesario, cuerpos especializados.

Más seguridad, pero sin convertir la escuela en un búnker

Hay un riesgo de sobrerreacción. La ciberseguridad mal entendida puede acabar en bloqueo constante, vigilancia excesiva o prohibiciones que no resuelven el problema.

La educación necesita experimentar, compartir, crear y trabajar con información. Si la respuesta oficial es cerrar demasiado, aparecerán atajos: cuentas personales, nubes externas, grupos paralelos, aplicaciones no autorizadas y soluciones improvisadas.

La seguridad útil no consiste en impedirlo todo. Consiste en ofrecer canales seguros que funcionen, herramientas homologadas que no sean un obstáculo y reglas claras que la comunidad educativa pueda cumplir.

También conviene desconfiar del reflejo comercial. Cada incidente importante abre una oportunidad para vender productos. Algunos serán necesarios. Otros solo añadirán complejidad. Antes de comprar más herramientas, muchos centros necesitan ordenar lo básico: inventario, permisos, copias, actualizaciones, doble factor de autenticación, formación práctica y protocolos de respuesta.

El problema presupuestario no se puede esquivar

La ciberseguridad cuesta dinero. La falta de ciberseguridad también.

La diferencia es que prevenir apenas se ve. En cambio, un incidente aparece de golpe: sistemas caídos, horas extra, consultoras externas, comunicaciones legales, pérdida de confianza, retrasos académicos, posibles sanciones y daño reputacional.

En educación, pedir más inversión en seguridad compite con necesidades muy visibles: plantillas, ratios, infraestructuras, orientación, climatización, becas o atención a la diversidad. Es comprensible que la ciberseguridad parezca secundaria en centros con problemas más urgentes.

Pero esa separación es cada vez menos real. Si el sistema educativo depende de plataformas digitales para funcionar, protegerlas forma parte del servicio educativo. No es un lujo técnico.

En centros públicos, las administraciones educativas deben marcar mínimos comunes. No se puede dejar cada colegio o instituto a su suerte. Hace falta arquitectura común, soporte suficiente, proveedores evaluados, formación útil y criterios claros sobre qué herramientas se pueden usar.

En universidades, la autonomía no debería llevar al aislamiento. Compartir información sobre amenazas, coordinar compras, hacer simulacros, reforzar equipos de respuesta y aprender de incidentes ajenos puede reducir riesgos.

La regulación empuja, pero no sustituye a la gestión

El Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022, marca principios y requisitos mínimos para proteger la información y los servicios prestados por medios electrónicos en el sector público y en proveedores que colaboran con la Administración.

Para universidades públicas, administraciones educativas y servicios públicos digitales, el ENS es una referencia central. También lo es la normativa de protección de datos, especialmente cuando se trabaja con menores.

La Directiva NIS2 ha elevado la exigencia europea sobre ciberseguridad en sectores esenciales e importantes. Aunque la educación no siempre aparece incluida de forma general como sector esencial, el mensaje de fondo afecta a todo el sector público y a sus proveedores: la ciberseguridad debe gestionarse como un riesgo de organización, no como un asunto aislado del área técnica.

La norma ayuda, pero no protege sola. Un centro puede tener documentos, políticas y cláusulas, y seguir siendo vulnerable si no hay recursos, cultura de seguridad y capacidad real de respuesta.

Cumplir no es lo mismo que resistir un ataque.

Qué debería cambiar en los centros educativos

El primer paso es saber qué se usa. Parece obvio, pero muchos centros no tienen un inventario completo de plataformas, aplicaciones, cuentas, proveedores y datos tratados. Sin inventario no hay seguridad posible.

El segundo paso es proteger la identidad digital. La cuenta educativa se ha convertido en una llave maestra. Debe tener doble factor de autenticación, gestión ordenada de altas y bajas, revisión periódica de permisos y control de cuentas con privilegios.

El tercer paso es preparar la continuidad. Un centro debe saber qué hacer si cae el campus virtual, si se bloquea el correo, si se filtran datos, si un proveedor comunica una brecha o si una plataforma suspende el servicio. Las copias de seguridad importan, pero más importa haber probado que se pueden restaurar.

El cuarto paso es revisar la compra tecnológica. Una herramienta educativa no debería entrar en el centro solo porque sea cómoda o barata. Si trata datos personales, tiene que pasar una revisión mínima de seguridad y privacidad.

El quinto paso es formar mejor. Formación breve, práctica y repetida. No necesita lo mismo un alumno de secundaria que una secretaria, una tutora, una familia, un equipo directivo o un administrador de sistemas.

Una oportunidad para ordenar la digitalización educativa

La ciberseguridad suele presentarse como una amenaza. También puede servir para corregir problemas que la digitalización educativa arrastra desde hace años.

Obliga a saber qué plataformas se usan. A revisar contratos. A aclarar responsabilidades. A formar mejor a docentes y alumnado. A separar canales oficiales de soluciones improvisadas. A pensar en continuidad del servicio. A tratar los datos de menores con la seriedad que merecen.

El incidente de Canvas, los ataques a universidades, las filtraciones de datos y los casos de ransomware no significan que la educación digital haya fracasado. Señalan otra cosa: se ha vuelto demasiado importante como para seguir tratándola como un añadido.

La escuela conectada ya es un objetivo. Protegerla no es una tarea secundaria del área informática. Es parte de la garantía de que enseñar, aprender y evaluar siga siendo posible cuando la tecnología deja de funcionar como se esperaba.

Fuentes utilizadas

Agencia Española de Protección de Datos. Guía para centros educativos. AEPD. Disponible en: https://www.aepd.es/guias/guia-centros-educativos.pdf

Boletín Oficial del Estado. Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. BOE. Disponible en: https://www.boe.es/buscar/act.php?id=BOE-A-2011-7630

Boletín Oficial del Estado. Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. BOE. Disponible en: https://www.boe.es/buscar/act.php?id=BOE-A-2022-7191

INCIBE. INCIBE detectó más de 122.000 incidentes de ciberseguridad en 2025. Instituto Nacional de Ciberseguridad. Disponible en: https://www.incibe.es/incibe/sala-de-prensa/incibe-detecto-mas-de-122000-incidentes-de-ciberseguridad-en-2025

Instructure. Incident update. Instructure / Canvas. Disponible en: https://www.instructure.com/incident_update

Universitat Oberta de Catalunya. Un incidente de seguridad del proveedor Canvas afecta a la UOC. UOC. Disponible en: https://www.uoc.edu/es/news/2026/un-incidente-de-seguridad-del-proveedor-canvas-afecta-a-la-uoc

Sigue leyendo

• De títulos a competencias: el cambio que redefine el empleo hasta 2040
• La FP entra de lleno en el debate sobre empleabilidad
• Cuánto cobra un profesor de Religión en Infantil y Primaria en 2026