← Volver al blog
Resumen de seguridad5 min read2026-05-03

Resumen de seguridad, 3 de mayo de 2026: ransomware en cPanel, ConsentFix v3, Copy Fail y respuesta al incidente de Instructure

El patrón feo de esta mañana es un colapso de confianza a escala: paneles de hosting, flujos OAuth, supuestos de memoria en Linux y plataformas educativas muestran al mismo tiempo cómo la infraestructura “normal” se vuelve ruta de ataque.


En una línea: Cuatro historias importan ahora: los servidores cPanel están siendo golpeados tan rápido que CISA fijó una fecha límite federal; ConsentFix v3 industrializa el robo de tokens de Azure; Copy Fail deja a una enorme base Linux a un paso local de root; e Instructure todavía intenta medir el impacto de un nuevo incidente.


1. cPanel pasó casi de inmediato de falla crítica a problema activo de ransomware

CVE-2026-41940 ya no es algo para parchear después. Los atacantes están explotando en masa el bypass de autenticación de cPanel y WHM, y BleepingComputer informa que ya se usa para desplegar el ransomware Linux Sorry. The Record dice que CISA ordenó a las agencias federales corregir antes del 3 de mayo; eso deja claro el nivel de urgencia.


2. ConsentFix v3 hace que el robo OAuth en Azure sea más escalable y convincente

ConsentFix ya era peligroso porque abusaba de un flujo legítimo de autorización de Microsoft en lugar de robar contraseñas. La versión 3 añade automatización: validación del tenant, perfilado de víctimas, infraestructura de phishing, intercambio de tokens en tiempo real mediante Pipedream y acceso posterior más rápido a recursos de Microsoft. Aquí MFA no es manta de seguridad.


3. Copy Fail es el tipo de bug de Linux que rompe silenciosamente los límites de confianza cloud

Copy Fail, identificado como CVE-2026-31431, afecta a las principales distribuciones Linux publicadas desde 2017 y puede dar root a un usuario con pocos privilegios. Peor aún, también puede facilitar escapes de contenedores en hosts afectados. Theori lo encontró con análisis asistido por IA, CERT-EU pidió parcheo rápido y el alcance de plataforma es tan grande que debe ir al tope de la lista del fin de semana.


4. El incidente de Instructure recuerda que las plataformas educativas siguen siendo objetivos de alto valor

Instructure divulgó un nuevo incidente de ciberseguridad y dijo que sigue investigando el impacto con apoyo forense externo. El mantenimiento de Canvas Data 2 y Canvas Beta, junto con avisos sobre herramientas dependientes de claves API, basta para volver esto operativamente relevante incluso antes de conocer todos los hechos. Estas plataformas guardan enormes volúmenes de datos de estudiantes y personal; la ambigüedad aquí ya es riesgo.


Qué deberían hacer hoy los equipos de seguridad

  1. Parchear cPanel y WHM ahora y luego investigar compromiso en vez de quedarse en la verificación de versión.
  2. Ampliar la detección alrededor del abuso OAuth en Azure, especialmente emisión de tokens y consent workflows sospechosos.
  3. Mover Copy Fail al frente de la cola de parcheo de Linux y hosts de contenedores.
  4. Revisar la exposición operativa a Instructure y prepararse para efectos posteriores en APIs, datos y confianza.

Fuentes


En resumen: Hoy no se trata de un único zero-day vistoso. Se trata de infraestructura rutinaria demostrando que los atajos de confianza no sobreviven al contacto con atacantes motivados.

Encuentre las rupturas de confianza antes de que los atacantes las encadenen

KENSAI ayuda a los equipos a descubrir rutas administrativas expuestas, flujos de identidad riesgosos y puntos débiles de infraestructura antes de que se conviertan en ransomware, robo de tokens o compromiso total del host.

Iniciar escaneo gratuito →

Manténganse afilados.

🗡️ Equipo de Seguridad KENSAI