Facebook Linkedin Twitter Instagram Youtube Telegram

Descubren fallos de seguridad en los puglin de WordPress que utilizan las plataformas de eLearning

Los fallos de seguridad que permiten a los cibercriminales tomar el control total de la plataforma están presentes en los sistemas de formación online de empresas del Fortune 500 y más de 100.000 instituciones educativas entre las que se encuentran las Universidades de Florida, Michigan o Washington 

Los investigadores de seguridad de Check Point® Software Technologies Ltd han descubierto una vulnerabilidad en los plugins de WordPress más utilizados para desarrollar plataformas de formación online conocidos como LearnPress, LearnDash y LifterLMS. Este fallo de seguridad permite a cualquier persona obtener privilegios de profesor y, de esta forma, robar información personal o incluso obtener beneficios económicos 

El brote de coronavirus impide a millones de alumnos de todo el mundo seguir su formación académica con normalidad. Por este motivo, las principales instituciones de enseñanza (entre las que se incluyen las Universidades de Florida, Michigan o Washington, entre otras) y empresas de Fortune 500 confían en los sistemas de formación para impartir clases virtuales sin que los estudiantes o empleados entren en un aula física. Este tipo de sistemas permiten almacenar una gran cantidad de información educativa, por lo que se utilizan fundamentalmente para crear clases (temarios) virtuales, compartir trabajos, evaluar a los estudiantes, etc. Además, son muy fáciles de usar, ya que para acceder a estos recursos formativos online tan sólo se necesita un nombre de usuario y una contraseña. 

“El coronavirus ha hecho que la población tenga que realizar todas sus actividades desde casa, incluyendo la formación. Por este motivo, las principales instituciones educativas, así como muchas academias, confían en los sistemas para continuar con su actividad de forma virtual. Sin embargo, los estudiantes y empleados que acceden a estas plataformas de eLearning probablemente no saben lo peligroso que puede ser”, señala Omri Herscovici, jefe de equipo de investigación de vulnerabilidades de Check Point. “Con la investigación que hemos llevado a cabo hemos descubierto vulnerabilidades que permiten a los cibercriminales tomar el control de estas plataformas con suma facilidad y, como consecuencia, poder acceder a información sensible. Por este motivo, desde Check Point aconsejamos a todas aquellas instituciones académicas que cuenten con este tipo de plataformas para actualizar el software y contar con la última versión disponible”, añade Herscovici.

¿Cuáles son los plugins de WordPress afectados por esta vulnerabilidad?

Los expertos de Check Point han encontrado fallos de seguridad en LearnPress, LearnDash y LifterLMS.  Cualquiera de estos tres plugins, presentes en aproximadamente 100.000 plataformas educativas diferentes, puede transformar cualquier sitio web de WordPress en un sistema de gestión de formación completamente funcional y fácil de usar. Los tres plugins afectados por esta vulnerabilidad son:

  • LearnPress: es uno de los sistemas de gestión más populares del sector. Este plugin permite generar cursos y lecciones a medida con pruebas de nivel que permiten a los estudiantes ir avanzando niveles en el plan de estudios. Se utiliza en más de 21.000 escuelas y está instalado en más de 80.000 dispositivos.
  • LearnDash: este plugin proporciona las herramientas necesarias para suministrar contenido, comercializar cursos, recompensar a los alumnos o poner en marcha actividades. Más de 33.000 sitios web utilizan LearnDash, incluyendo muchas empresas de la lista Fortune 500, así como las Universidades de Florida, Michigan y Washington.
  • LifterLMS: proporciona ejemplos de cursos y test de nivel, así como certificados y una página web totalmente configurada. Más de 17.000 sitios web utilizan este plugin, incluyendo agencias de WordPress y educadores, junto con varias escuelas y diversas instituciones educativas.

El sueño de todo estudiante: hackear los sistemas de la institución educativa a la que pertenece

Estas vulnerabilidades, que fueron descubiertas en un periodo de tiempo de dos semanas durante el pasado mes de marzo, permitían llevar a cabo el sueño de todo estudiante: hackear los sistemas informáticos y tomar el control de la información académica. En otras palabras, cualquier persona que aproveche este fallo de seguridad podría modificar sus notas y las del resto de los estudiantes, falsificar certificados, tener acceso a las respuestas de los exámenes e incluso hacerse con los privilegios que la plataforma concede únicamente a los profesores. Asimismo, podría robar información personal (nombre, correo electrónico, usuario y contraseña de la plataforma), o incluso desviar el dinero de los pagos realizados a estas plataformas a sus propias cuentas bancarias.

 

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.