Cómo Open LMS garantizó la seguridad de los datos de sus clientes durante un ciberataque global

A comienzos de agosto de 2025, el equipo de Open LMS detectó una campaña sistemática de credential stuffing (relleno de credenciales) dirigida a algunos de nuestros sitios alojados. Mientras investigábamos el origen del ataque, quedó claro que se trataba de una campaña automatizada y planificada que estaba afectando a sitios Moodle™ en todo el mundo. El ataque involucró a unos pocos sitios de Open LMS y a miles de plataformas basadas en Moodle™ alojadas por distintos proveedores.

Open LMS identificó que los nombres de usuario y contraseñas usados en estas operaciones provenían de filtraciones ocurridas años atrás. Estos datos se encontraban fácilmente disponibles en nuevos conjuntos de información agregada. Estas nuevas recopilaciones facilitaron que los atacantes cargaran cuentas y contraseñas en automatizaciones de botnets para intentar vulnerar sitios. Una botnet funciona infectando múltiples dispositivos —como computadores y teléfonos inteligentes— con software malicioso que permite a un atacante controlarlos de manera remota.

DESCUBRE UN RECURSO RELACIONADO | “Respondiendo a la reciente interrupción de AWS: cómo Open LMS garantizó la resiliencia del servicio”

Todo indicaba que los atacantes estaban cruzando información filtrada con cuentas vinculadas a sitios MoodleTM, y algunos de los objetivos se encontraban dentro de los entornos de alojamiento de Open LMS. En la mayoría de los casos, las cuentas comprometidas ya no estaban activas; en otros, aunque seguían activas, no tenían cursos asignados ni privilegios que pudieran resultar útiles para un atacante.

Mientras el equipo de soporte de Open LMS trabajaba en conjunto con los clientes afectados, también evaluamos la situación con otros proveedores de hosting Moodle™. Uno de estos partners había desarrollado previamente una herramienta de verificación y compartió el plugin con Open LMS. Después de probarlo, creamos nuestra propia versión y ajustamos varios de sus comportamientos. Gracias a esta estrecha colaboración con clientes y proveedores basados en Moodle™, confirmamos que el ataque era, en efecto, una campaña global.

El plugin Password Leak Check verifica si existen contraseñas conocidas en la base de datos de contraseñas comprometidas de HaveIBeenPwned, una herramienta estándar en la industria para agregar y rastrear filtraciones. El plugin compara una coincidencia parcial del hash de la contraseña utilizada para iniciar sesión contra la API de contraseñas filtradas de HaveIBeenPwned y actúa cuando encuentra una coincidencia en alguna de las filtraciones registradas. La API solo recibe un hash parcial, lo que significa que incluso si HaveIBeenPwned llegara a ser comprometido, no se filtrarían hashes reales de contraseñas.

Una vez que el plugin detecta una contraseña filtrada, puede obligar al usuario a cambiarla inmediatamente durante el inicio de sesión —lo cual no se recomienda, ya que podría tratarse del atacante— o puede bloquear de inmediato la cuenta del usuario al:

• Vaciar la contraseña almacenada en la base de datos
• Finalizar todas las sesiones activas del usuario en cualquier dispositivo o navegador
• Redirigir al usuario a la página de “olvidé mi contraseña” con un mensaje visible en la parte superior

MÁS RECURSOS A TU DISPOSICIÓN | “Integraciones fluidas y una transición sin complicaciones: Open LMS se adapta a tu stack tecnológico”

Este método obliga al sitio a generar una nueva contraseña temporal y enviarla al correo electrónico registrado del usuario. Cuando el usuario intenta iniciar sesión nuevamente, se le solicita que establezca una contraseña nueva.

Password Leak Check valida las contraseñas de cuentas que utilizan autenticación interna (manual). Para sitios que emplean LDAP, SAML, OAuth u otros servicios externos de identidad, la contraseña nunca llega a Open LMS, lo que garantiza que permanezca protegida frente a intentos de acceso remoto.

Gracias a estas medidas de seguridad y al trabajo conjunto con otros proveedores basados en Moodle™, Open LMS pudo mitigar rápidamente el ciberataque, informar a los clientes sobre la situación y mantener su información protegida.

Preguntas frecuentes (FAQs)

¿Este problema de contraseñas significa que mis datos —o los de alguien más— en Open LMS fueron vulnerados? ¿Se filtraron nuestras contraseñas?

No. El punto clave de este problema —y la razón por la que estas contraseñas filtradas son útiles para los atacantes— es que muchas personas tienden a usar la misma información de acceso en múltiples sitios. Cuando una plataforma filtra esos datos, cualquier otro sitio donde se utilice la misma combinación de usuario y contraseña queda expuesto.

¿Qué más debería hacer como usuario de Open LMS o de una plataforma basada en Moodle™?

Cambia tus contraseñas regularmente, evita reutilizar la misma en diversos sitios y elimina cuentas antiguas que ya no utilices.

¿Qué más debería hacer como administrador de un sitio LMS?

Revisa las políticas de contraseñas del sitio y considera actualizarlas si llevan mucho tiempo sin modificarse. Las políticas de contraseñas aplican a la autenticación interna, por lo que los usuarios que acceden mediante servicios externos como LDAP o SAML se gestionan desde esos sistemas. Estas políticas se encuentran principalmente en los ajustes de administración del sitio en Seguridad > Políticas de seguridad del sitio. Allí puedes configurar requisitos de fortaleza (longitud y complejidad) y ajustes de bloqueo tras intentos fallidos.

En Administración del sitio > Plugins > Autenticación > Cuentas manuales, también puedes establecer el tiempo de expiración de contraseñas para obligar a los usuarios a actualizarlas periódicamente.

Para obtener más información sobre el plugin Password Leak Check y su funcionamiento, lee este artículo en la Knowledge Base de Open LMS.

ELEGIDO PARA TI | “Nuestro resumen del año: cómo Open LMS impulsó un fantástico 2025 para la comunidad de L&D”