AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Confirmada la filtración de datos en Instructure tras un ciberataque atribuido a ShinyHunters**

admin

### Introducción

Instructure, la conocida empresa de tecnología educativa responsable de la popular plataforma Canvas LMS, ha confirmado que ha sido víctima de un ciberataque que resultó en el robo de datos. El grupo de ciberdelincuentes ShinyHunters, con un amplio historial de incidentes de alto perfil, ha reivindicado la autoría de este ataque, cuyas implicaciones afectan tanto a clientes institucionales como a millones de usuarios finales en el sector educativo.

### Contexto del Incidente

El incidente se detectó a principios de junio de 2024, cuando los administradores de Instructure identificaron actividad inusual en sistemas relacionados con la gestión de datos de usuarios. Poco después, ShinyHunters publicó en foros clandestinos de la dark web que había logrado exfiltrar una base de datos significativa perteneciente a Instructure, incluyendo información sensible de usuarios y clientes corporativos.

ShinyHunters, conocido desde 2020 por ataques a plataformas como Tokopedia, Wishbone y Microsoft, ha perfeccionado técnicas de extorsión y venta de datos. Su modus operandi suele centrarse en la explotación de vulnerabilidades en aplicaciones web y servicios cloud, así como en la ingeniería social dirigida.

### Detalles Técnicos del Ataque

Según la información preliminar proporcionada por Instructure y fuentes independientes de threat intelligence, el vector de ataque principal fue la explotación de una vulnerabilidad en una API expuesta de la plataforma Canvas LMS. Aunque la compañía no ha detallado la CVE específica, analistas externos sugieren una correlación con vulnerabilidades conocidas en versiones previas a la 2024.3.2 de Canvas LMS, concretamente fallos de autorización insuficiente (Broken Access Control, MITRE ATT&CK T1068).

El acceso inicial permitió a los atacantes realizar movimientos laterales (T1075: Pass the Hash) y escalar privilegios en los servidores de backend. ShinyHunters empleó scripts automatizados para la exfiltración de datos, evitando mecanismos de detección tradicionales basados en firmas. También se han encontrado artefactos asociados a herramientas como Cobalt Strike y Metasploit, que facilitaron la persistencia y el mapeo de la red interna.

Entre los indicadores de compromiso (IoC) identificados se encuentran direcciones IP asociadas a VPNs residenciales de países de Europa del Este y hashes MD5/SHA256 de ejecutables maliciosos empleados durante la intrusión.

### Impacto y Riesgos

Instructure ha confirmado que los datos extraídos incluyen nombres completos, direcciones de correo electrónico, identificadores de usuario y datos institucionales de clientes. Aunque la empresa asegura que no se han comprometido contraseñas ni información financiera directa, el riesgo de ataques de phishing dirigido (spear phishing) y movimientos de identidad lateral es elevado.

El alcance potencial afecta a más de 30 millones de usuarios activos en el ecosistema Canvas, incluyendo instituciones educativas de España, Latinoamérica, EE. UU. y Europa. Los primeros análisis cifran la base de datos filtrada en cerca de 7 millones de registros únicos, lo que podría derivar en una brecha de datos masiva bajo las definiciones del RGPD y la inminente directiva NIS2.

El impacto económico es difícil de cuantificar, pero incidentes previos atribuidos a ShinyHunters han supuesto pérdidas superiores a los 6 millones de dólares en sanciones y costes de remediación para las organizaciones afectadas.

### Medidas de Mitigación y Recomendaciones

Instructure ha iniciado un proceso de revisión exhaustiva de sus sistemas, incluyendo auditorías de logs, revisión de accesos privilegiados y despliegue de parches de emergencia en todas las instancias de Canvas. Se recomienda a los administradores de sistemas que gestionan entornos Canvas verificar la versión instalada y aplicar inmediatamente cualquier actualización de seguridad publicada tras el 10 de junio de 2024.

Entre las recomendaciones para profesionales del sector destacan:

– Habilitar autenticación multifactor (MFA) para todas las cuentas administrativas.
– Monitorizar logs de acceso y de API en busca de patrones anómalos.
– Implementar reglas de detección específicas en SIEM (Splunk, ELK, QRadar) para los IoC asociados.
– Revisar configuraciones de permisos y segmentación de redes internas.
– Notificar proactivamente a los usuarios finales sobre riesgos de phishing.

### Opinión de Expertos

Expertos en ciberseguridad como David Barroso (CounterCraft) y Raúl Siles (Dinosec) subrayan la importancia de una gestión proactiva de vulnerabilidades en plataformas SaaS, especialmente aquellas expuestas en entornos educativos con grandes volúmenes de datos personales. “El sector EdTech suele ser un objetivo atractivo por la cantidad de información sensible y la baja madurez de muchas implementaciones”, apunta Siles.

Por su parte, analistas de Mandiant advierten que grupos como ShinyHunters están perfeccionando el uso de ataques API y técnicas de doble extorsión, aumentando la presión sobre las organizaciones para pagar rescates o enfrentar sanciones regulatorias.

### Implicaciones para Empresas y Usuarios

Para las instituciones educativas y empresas clientes de Instructure, el incidente supone un riesgo reputacional y legal significativo, especialmente bajo el RGPD y la próxima NIS2, que refuerza la obligación de notificar incidentes críticos a las autoridades competentes en menos de 24 horas.

Los usuarios finales deben extremar precauciones ante comunicaciones sospechosas y actualizar sus credenciales en plataformas vinculadas. Las organizaciones deben reevaluar sus acuerdos de nivel de servicio (SLA) y exigir pruebas de cumplimiento y auditoría a sus proveedores EdTech.

### Conclusiones

El ataque a Instructure confirma que el sector educativo sigue siendo una diana prioritaria para actores de amenazas avanzadas. La explotación de vulnerabilidades en APIs y la sofisticación de grupos como ShinyHunters obligan a las organizaciones a reforzar sus estrategias de defensa, priorizando la gestión de identidades, la segmentación de redes y la respuesta a incidentes. La transparencia en la comunicación y la colaboración entre proveedores y clientes serán clave para mitigar el impacto y prevenir futuros incidentes de esta magnitud.

(Fuente: www.bleepingcomputer.com)