EVIDENCIA TÉCNICA: DIAMOND MODEL OF INTRUSION ANALYSIS


Materia: Seguridad Informática II
Profesor: Servando López Contreras
Fecha: 15 de marzo de 2026
Equipo 2:
  • Rodríguez Hernández Edgar Omar (177888)
  • López López Josué Emmanuel (182078)
  • Mata Martínez Aaron Efraim (179419)
  • Rodriguez Morin Estefano Alessandro (178584)
  • Ros Padilla Iván (177573)
  • Salinas Carrillo Mauricio Josafat (177406)

Introducción al Modelado Científico

El Modelo Diamante es una metodología de inteligencia de ciberamenazas diseñada para analizar intrusiones informáticas mediante el establecimiento de relaciones lógicas y matemáticas entre sus cuatro componentes clave básicos. Al estructurar estos elementos de forma relacional, el equipo de analistas de incidentes puede rastrear de manera ágil los movimientos horizontales y predecir los próximos vectores lógicos de ataque. Este análisis documenta de forma exhaustiva el ataque real a la infraestructura en la nube de Canvas LMS ocurrido en mayo de 2026.

Estructura Operativa: Los Cuatro Vértices del Diamante

CORE_ADV

1. Adversario: Nexo Criminal

Operador Táctico: El grupo delictivo transnacional ShinyHunters
Motivación Primaria: Lucro financiero masivo mediante extorsión y venta de bases de datos sensibles en foros clandestinos (BreachForums). Se identificó una firma operativa caracterizada por el despliegue rápido de exploits y demandas de rescate agresivas en canales digitales automatizados.

CORE_CAP

2. Capacidad: Arsenal Lógico

Vectores de Ataque: Uso de vulnerabilidades de Día Cero (Zero-Day) de evasión de autenticación y scripts avanzados de automatización para el barrido de tokens criptográficos. Implementaron herramientas de interceptación lógica capaces de evadir firmas de auditoría convencionales y eludir los perímetros de inspección básicos de la API.

CORE_INF

3. Infraestructura: Nube Híbrida

Entorno Afectado: Servidores centralizados de almacenamiento en la nube (Buckets de Amazon S3) de AWS asociados a la plataforma Canvas LMS. El ataque utilizó nodos proxy distribuidos globalmente (Fast-Flux DNS) y servidores de comando y control (C2) para enmascarar los túneles de exfiltración de tráfico.

CORE_VIC

4. Víctima: Perfil Institucional

Objetivo Central: Instancias lógicas y bases de datos de la plataforma educativa virtual Canvas LMS. El impacto operativo directo incluyó el compromiso absoluto y exfiltración de un volumen crítico equivalente a 3.65 Terabytes (TB) de información personal, registros académicos e identidades institucionales de usuarios.

Línea de Tiempo Táctica: Fases del Ataque (Cyber Kill Chain)

Fase 1: Reconocimiento (Reconnaissance)
Mapeo automatizado de los endpoints públicos de la API de Canvas LMS. Identificación de configuraciones débiles en las políticas de llaves de acceso del servidor en la nube de producción.
Fase 2: Preparación de Armas (Weaponization)
Desarrollo de un exploit modular de Día Cero personalizado por ShinyHunters, acoplado a scripts automatizados capaces de realizar consultas a altas velocidades sin detonar las firmas de los Firewalls.
Fase 3: Entrega (Delivery)
Inyección de peticiones lógicas malformadas orientadas a los servicios perimetrales de AWS, evadiendo las solicitudes de autorización normales del servidor.
Fase 4: Explotación y Control (Exploitation & C2)
Evasión del control de accesos e inyección de tokens de administración. Establecimiento de túneles TLS cifrados hacia los servidores C2 del adversario para ocultar la sesión maliciosa.
Fase 5: Acciones sobre el Objetivo (Exfiltración Masiva)
Ejecución del volcado masivo y transferencia automatizada de 3.65 TB de datos académicos desde los buckets de Amazon S3 hacia la infraestructura externa controlada por el grupo criminal

Modelado Gráfico: Vector de Exfiltración de Infraestructura

> SYSTEM_NETWORK_MAP_RENDER_OK [IMAGE_ID: infraestructura_canvas]

Diagrama Técnico del Vector de Ataque AWS Canvas

Figura 3.1: Diagrama de pivoteo lógico desde la API perimetral comprometida hacia los almacenes centrales de datos de la organización (Buckets S3).

Análisis Técnico-Analítico y Remediación

Lecciones Aprendidas del Incidente:
El compromiso de Canvas LMS demuestra que la seguridad perimetral tradicional resulta obsoleta ante actores con capacidades avanzadas de Día Cero. La exfiltración masiva de 3.65 TB de datos ocurrió debido a la centralización de privilegios y la ausencia de inspecciones analíticas profundas sobre los flujos de salida de la red corporativa.

Estrategias Defensivas de Mitigación Organizada:
  • Implementación estricta de Zero Trust: Validar de forma continua cada petición, sin importar el nivel jerárquico aparente de la llave de API.
  • Cifrado de Datos en Reposo y Tránsito: Aplicar algoritmos robustos con rotación automatizada de llaves para mitigar el impacto en caso de sufrir una exfiltración exitosa.
  • Sistemas DLP (Data Loss Prevention): Configurar bloqueos automáticos en el perímetro perimetral ante la detección de descargas volumétricas sospechosas de información.
Regresar al Parcial 3 DESCARGAR DOCUMENTACIÓN PDF