AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**ShinyHunters compromete de nuevo Instructure: Ataque masivo a portales Canvas universitarios**

admin

### 1. Introducción

El grupo de cibercrimen ShinyHunters ha perpetrado un nuevo y sofisticado ataque contra Instructure, proveedor líder de soluciones de tecnología educativa, con especial foco en la plataforma Canvas. Este incidente, que supone la segunda vulnerabilidad explotada contra la compañía en un corto espacio de tiempo, ha derivado en la manipulación y defacement de los portales de inicio de sesión de Canvas pertenecientes a cientos de universidades y colegios a nivel global. La acción, de claras motivaciones extorsivas, pone de relieve la persistente amenaza que representan los grupos de ransomware y extorsión para el sector educativo y para las infraestructuras críticas de TI.

### 2. Contexto del Incidente

Instructure, empresa estadounidense responsable de Canvas—una plataforma de gestión de aprendizaje (LMS) utilizada por más de 6.000 instituciones educativas en todo el mundo—ha sido nuevamente blanco de los ataques de ShinyHunters. Este grupo, conocido por sus actividades de extorsión y filtrado de datos, ya había vulnerado la seguridad de Instructure en ocasiones anteriores, pero en esta ocasión han optado por una táctica de mayor visibilidad: la alteración de las páginas de login de Canvas, impactando directamente en la experiencia de acceso de miles de estudiantes, docentes y personal administrativo.

El ataque se produjo durante el mes de junio de 2024, coincidiendo con las temporadas de exámenes y matriculación, lo que ha intensificado el impacto en las operaciones de las instituciones afectadas. El defacement de los portales incluía mensajes intimidatorios y amenazas, exigiendo un rescate para no divulgar información sensible ni continuar con las interrupciones.

### 3. Detalles Técnicos

#### Vulnerabilidad y CVE

Aunque todavía no se ha asignado un CVE oficial al vector explotado—Instructure y varios CSIRTs están trabajando en el disclosure coordinado—las primeras investigaciones apuntan a una falla en la integración de autenticación de terceros (SSO/SAML/OAuth) de Canvas. Dicha vulnerabilidad habría permitido a los atacantes modificar el código HTML de los portales de login sin necesidad de credenciales administrativas locales.

#### Vectores de Ataque

El ataque combina técnicas de:

– **Explotación de vulnerabilidades web (T1190 – Exploit Public-Facing Application, MITRE ATT&CK)**
– **Manipulación de recursos en la nube y API expuestas**
– **Ingeniería social para obtener acceso a cuentas privilegiadas de administradores de campus**
– **Despliegue de scripts de defacement automatizados en masa**

#### TTP y Herramientas

ShinyHunters ha demostrado el uso de herramientas personalizadas para la automatización del defacement, así como frameworks conocidos como Metasploit para la fase de explotación inicial. Se han detectado IoC (Indicators of Compromise) asociados con direcciones IP de Tor y proxies rusos, además de hashes de archivos maliciosos cargados en los servidores de login.

### 4. Impacto y Riesgos

El incidente ha afectado a más de 400 instituciones educativas, según fuentes de threat intelligence, lo que equivale a potencialmente millones de usuarios con acceso interrumpido o comprometido. Entre los riesgos destacados:

– **Interrupción de servicios críticos**: acceso denegado a materiales educativos, exámenes y sistemas de calificaciones.
– **Phishing y robo de credenciales**: riesgo de que los portales manipulados recojan datos de acceso de estudiantes y empleados.
– **Pérdida de confianza y reputación institucional**.
– **Sanciones regulatorias**: posibles multas bajo el GDPR europeo o la NIS2, dada la naturaleza de los datos educativos y personales expuestos.

A nivel económico, los costes asociados a la remediación y al tiempo de inactividad podrían superar los 2 millones de dólares, según estimaciones de Forrester y Ponemon Institute para incidentes de esta magnitud en el sector educativo.

### 5. Medidas de Mitigación y Recomendaciones

Las siguientes acciones son recomendadas para las organizaciones afectadas y aquellas que utilicen Canvas:

– **Actualización urgente**: aplicar cualquier parche o mitigación temporal proporcionada por Instructure.
– **Revisión de integraciones SSO/SAML/OAuth**: auditar las configuraciones y revocar accesos sospechosos.
– **Monitorización de logs**: buscar actividades anómalas en los portales de login y en las cuentas de administrador.
– **Implementación de MFA obligatorio** para todos los accesos administrativos.
– **Despliegue de WAFs y segmentación de red** para proteger los endpoints de autenticación.
– **Simulacros de respuesta ante incidentes** y formación continua para los equipos de TI y usuarios finales.

### 6. Opinión de Expertos

Analistas de ciberseguridad consultados, como los del SANS Institute y ENISA, coinciden en que la sofisticación y el alcance del ataque demuestran la madurez operativa de ShinyHunters, así como la necesidad urgente de reforzar la seguridad en los servicios SaaS utilizados por entidades educativas. Recomiendan especial atención a la gestión de la cadena de suministro digital y a la monitorización de integraciones de terceros.

### 7. Implicaciones para Empresas y Usuarios

Más allá del sector educativo, este incidente subraya la vulnerabilidad de los entornos SaaS multi-institución y la importancia de la seguridad en las integraciones de autenticación. Para las empresas, supone una llamada de atención sobre la necesidad de evaluar tanto la seguridad propia como la de sus proveedores críticos. Para los usuarios, la recomendación es cambiar contraseñas y estar atentos ante posibles campañas de phishing derivadas del ataque.

### 8. Conclusiones

El ataque de ShinyHunters contra Instructure y los portales Canvas expone debilidades fundamentales en la seguridad de las plataformas educativas SaaS y pone en jaque la continuidad académica de cientos de instituciones. Es imprescindible reforzar los controles de autenticación y la gestión de terceros, así como adoptar una postura proactiva de ciberdefensa ante grupos de extorsión cada vez más agresivos y especializados.

(Fuente: www.bleepingcomputer.com)