jueves, 16 de septiembre de 2021

Un nuevo informe sobre Moodle, mi experiencia personal, y algunas verdades más



Si eres un CISO o CTO, y estás evaluando incorporar a Moodle en tu organización, o bien ya lo tienes desplegado en tu infraestructura, no puedes dejar de leer el excelente informe de Cristian Borghello y Daniel Maldonado titulado “Moodlelandia: Malas prácticas de Seguridad en las Aulas Virtuales creadas con Moodle”. La verdad es que el artículo no tiene desperdicio, y aquí me propongo complementar lo dicho en ese informe con mi experiencia personal, tratando de arrojar luz sobre el por qué de algunas estadísticas.

Principales hallazgos del informe sobre “Moodlelandia”

Lo primero que noto es que los hallazgos son sorprendentes, por la gravedad de la situación en Latinoamérica y España:

“Luego de analizar casi doce mil sitios, los principales resultados respecto a seguridad de las plataformas Moodle se pueden resumir en los siguientes aspectos:
  • Casi la mitad de las instalaciones de Moodle utilizan versiones ya no soportadas por el desarrollador.
  • No se encontró ninguna instalación con la última versión y completamente actualizada a la fecha.
  • Sólo un tercio de los sitios utilizan comunicaciones cifradas (HTTPS).
  • En más de la mitad de los casos, fue posible encontrar archivos de configuración sin protección y no se observó ningún proceso de hardening; sólo un quince por ciento ha decidido proteger de alguna manera la versión de la plataforma de instalación (sistema operativo, servidor web o versión de Moodle).
  • Aproximadamente un tercio de los sitios analizados contienen al menos una vulnerabilidad pública, conocida y documentada (con CVE asignado).
  • Fue posible identificar más de cincuenta vulnerabilidades distintas en todos los sitios analizados y con un promedio de cinco vulnerabilidades por sitio.
De estos hallazgos, lo primero que me llevo son las estadísticas actualizadas, ya que he sido CISO en una organización con más de 20 instalaciones de Moodle hace más de 10 años. Lo sorprendente para mí es que, tanto tiempo después, todavía sigan existiendo tantas instalaciones de Moodle en este gravísimo estado de inseguridad.

Entonces me pregunto por qué esto sigue sucediendo y creo que el quid de la cuestión está sobre el final del informe:

“Contrario a lo que se puede pensar, el concepto de LMS gratuito y de distribución libre no es suficiente para que una organización (pública o privada) pueda mantener una plataforma educativa de la complejidad de Moodle. Los métodos de instalación, actualización y configuración pueden ser lo suficientemente dificultosos como para que un administrador no lleve adelante los procesos de hardening y la implementación adecuada de recomendaciones de seguridad.”

Esto me llevó a querer avanzar y complementar la investigación por mi cuenta, averiguando por qué existe este enorme grado de descuido a nivel generalizado sobre las implementaciones de Moodle en lo referido a ciberseguridad. Para eso, lo primero que hice fue llamar a la oficina donde trabajé como CISO hace tantos años y preguntar cómo estaban trabajando.



Mi propio trabajo investigativo

Algo a tener en cuenta es que esa organización cuenta con varios expertos en Moodle, con una experiencia mayor a 15 años, por lo que algo “simple” para ellos puede ser complejo para otra persona que no lleva tanto tiempo trabajando en esa tecnología.

Hablando con los administradores de las más de 20 instancias de Moodle me comentaron que actualizarlo ya no es tan complejo como lo recordaba yo. Ahora es bastante más simple comparativamente, aunque se debe acompañar con algún que otro script cuando hablamos de tantas instancias desplegadas.

Lo segundo que me comentaron fue que, gracias a esa simplificación, están en proceso de migración hacia una versión más reciente usando estos mecanismos modernos para lograr el upgrade. Cuando pregunté de qué versiones estábamos hablando, me detallaron que estaban actualizando de la 3.4.x a la 3.9.x (ver informe)

Suponiendo que se refirieran a la última versión de la rama (3.4.9), entonces podemos ver en el sitio oficial que la “Compostura de problemas para asuntos de seguridad en 3.4.x terminó el 13 de Mayo 2019 (hace 18 meses)”. Eso es siempre y cuando se hayan mantenido actualizados dentro de esa rama. De lo contrario, nos remontaríamos lamentablemente a 2017.



Es decir, que en la propia organización donde yo trabajé, contando con varios expertos en esta tecnología, validan la misma situación que la enumerada por el informe (a excepción de las comunicaciones cifradas HTTPS).


¿Por qué este informe es tan representativo de la realidad?

Como los CISOs (o “ex”, en mi caso) sabemos, la ciberseguridad no es lo que mueve a las organizaciones. Si bien puede haber o no expertos en una tecnología, esto no significa que les preocupe la seguridad. De hecho, la actualización de versiones que me comentaron mis colegas no estaba asociada a una preocupación por tenerlo al día y hardenizado. Incluso, cuando les compartí el informe me respondieron “después lo chequeamos”, hasta con un dejo de desinterés. (Uno se ilusiona y se desilusiona tan rápido…)

Pero por otro lado, Moodle es un sistema enorme que nació en 2003, ampliamente conocido y desplegado por ser uno de los sistemas de software libre más populares. Un sistema casi incuestionable a la hora de implementar capacitación en una organización, mucho más en ámbitos académicos.

Este alto grado de status quo con respecto a EL sistema, y que en muchos casos genera una sensación de “gratuidad” por ser software libre, lleva a pensar además que se tiene que instalar on premise en la organización.

Sin embargo, y lo digo por experiencia propia, es un sistema complejo, no solo desde el punto de vista de la seguridad sino en general, tanto para el docente como para el alumno, pero sobre todo para las personas que quieren implementarlo y mantenerlo. Requiere mucha especialización y tiempo para llegar apenas a adecuarlo a las necesidades de la organización, pero mucho más esfuerzo y pericia para mantenerlo al día.

Así y todo, como parece ser la elección evidente, Moodle se instala y luego, a fuerza de prueba y error, se llega a implementar. Pero las preguntas que deberíamos hacernos como responsables de implantar un sistema LMS (Learning Management System) como este son:
  • ¿Es Moodle la solución que necesito?
  • ¿Debo agregarlo en mi infraestructura?

Preguntas elementales

La primera pregunta “¿Es Moodle la solución que necesito?” me evoca muchos recuerdos, pero elijo destacar solo dos:
  • En primer lugar, cuando estaba trabajando en la organización que les vengo mencionando y decidí lanzarme como emprendedor a crear una plataforma desde cero para cumplir las necesidades que Moodle no satisfacía, el CTO de turno me dijo: “Buena suerte, pero no hay algo más allá de Moodle” (Me sentí Neo de Matrix).

  • En segundo lugar, cuando estuve en la Expo E-learning en Madrid en 2018, allí solo con mi stand en medio de muchos otros rindiendo culto a Moodle, recaí en la cuenta que éramos una de las pocas plataformas en toda la feria que no estaba basada en tal sistema.


Por más popular que sea, no significa que sea lo que se necesite en tu organización. Tal vez cumpla con los requisitos de features, pero… ¿alguna vez has pensado los conocimientos necesarios para su implementación y mantenimiento? ¿O las vulnerabilidades que tiene?


Ante la segunda pregunta “¿Debo agregarlo en mi infraestructura?”, para muchas organizaciones no parece haber otra opción más que “on premise”. En este caso, sepan que Moodle requiere no solo tiempo para su implantación, sino principalmente para su mantenimiento. El hecho de no tener que pagar por la licencia no significa que sea la opción más barata.

Siendo entonces que no se cuestiona si debe ser Moodle u otra solución, y si debe o no estar en la infraestructura propia, esto nos acerca a los resultados del informe y a una situación aún peor: quienes se hayan vuelto especialistas en este sistema, serán sus principales partidarios y no querrán evaluar otra opción mejor.

Respuestas no tan difíciles, pero duras

Mi recomendación siempre es primero evaluar lo que realmente se necesita: un LMS, o un sistema de gestión de formación o concienciación (que no es lo mismo). En estos tiempos ya no estamos en situación de pensar que todo debe ser on premise. Hay muchas opciones más allá de Moodle en formato SaaS, tanto para capacitación como para concientización. Solo es cuestión de pensar en el largo plazo e ir por otra alternativa.

Si la respuesta es que no necesitas Moodle on premise, pero ya tienes Moodle desplegado, en ese caso la salida dependerá de qué tan arraigado esté en tu organización. Si están apenas probando o en etapas iniciales, entonces tienes una chance de demostrar como CISO cuál será el futuro cercano con el informe de Cristian y Daniel, desde el punto de vista de seguridad. Si Moodle está muy arraigado en tu organización, lamento decirte que cambiarlo será una batalla dura, ya que tendrás detractores. Mi recomendación en este caso es ponerlo fuera de la organización, para que no haya una dependencia y arraigo tan grande de gente, y luego el cambio total pueda ser más digerible.

Nuestro rol como CISOs

Moodle no es el demonio. No es ni malo ni bueno. No es el más inseguro ni el más difícil de mantener. Es un sistema más, pero es muy popular y ese es el problema: no se cuestiona.

Pero a los CISOs se les pide evaluar la seguridad y acompañar a la organización a tomar buenas decisiones. Si ponemos a Moodle sobre la mesa, sabremos que tiene vulnerabilidades graves cada año en materia de ciberseguridad, y que es un sistema que no se mantiene actualizado ni hardenizado en la gran mayoría de sus implementaciones, tal como se demuestra en el informe. Si crees ingenuamente que esto no sucederá en tu organización, lamento decirte que las estadísticas y los hechos están en tu contra.

Ahora bien, si tienes Moodle 100% actualizado y hardenizado, en primer lugar te felicito, y en segundo lugar, te invito a ayudar al resto con tips sobre cómo lo lograste sin mayores sobresaltos (nuestro blog está abierto).

2 comentarios:

  1. Felicitaciones por el post y por tu valentía; evidentemente tienes la experiencia necesaria para hacer, con tanta autoridad, afirmaciones que enfadarán a muchos.
    Solo me gustaría aclarar un detalle: cuando hablas de Preguntas elementales y refieres a la fotografía de tu stand en Expoelearning afirmas "recaí en la cuenta que éramos la única plataforma en toda la feria que no estaba basada en tal sistema".
    Con todo respeto (y esto por supuesto no cuestiona tu excelente artículo) quiero mencionar que desde hace 17 años EDUCATIVA participa en Expoelearning con sus plataformas CAMPUS y EJECUTIVA; ambas desarrolladas totalmente con TECNOLOGÍA PROPIA. Me consta además, que al menos en la última edición, había también otros colegas con plataformas no-moodle.

    ResponderBorrar
  2. Juan José, que bueno saber que no era el único. Nosotros participamos una única vez en 2018 en esa Feria. Voy a hacer una adecuación en el post indicando que eran mayoritariamente soluciones basadas en Moodle en el momento que participé. Igualmente sigue siendo por lejos Moodle la más popular, espero eso podamos cambiarlo a futuro.

    ResponderBorrar