Por Canuto Una vulnerabilidad crítica de día cero en Oracle PeopleSoft fue explotada durante más de dos semanas por ShinyHunters, uno de los grupos de ransomware más activos del mundo. El ataque ya habría alcanzado a unas 100 organizaciones, con especial impacto en universidades, mientras Oracle solo ha publicado una mitigación provisional y las víctimas comienzan a recibir exigencias de extorsión.
***
- La falla CVE-2026-35273 tiene gravedad 9,8 sobre 10 y corresponde a un SSRF explotable de forma remota.
- Mandiant indicó que ShinyHunters atacó unos 300 endpoints de 100 organizaciones desde el 27 de mayo.
- Cerca del 68% de las entidades afectadas pertenece al sector de educación superior, incluida la Universidad de Nottingham.
Oracle PeopleSoft enfrenta una de las crisis de seguridad más delicadas del año tras la explotación activa de una vulnerabilidad de día cero que ya habría afectado a cientos de endpoints en decenas de organizaciones. El caso involucra a ShinyHunters, un grupo ampliamente conocido por campañas de alto perfil y por combinar intrusión, robo de datos y extorsión.
La falla, identificada como CVE-2026-35273, recibió una puntuación de 9,8 sobre 10. Ese nivel la ubica entre las vulnerabilidades más críticas reportadas en 2026, en especial porque fue usada de forma activa antes de que existiera un parche completo.
Según reportó Ars Technica, Oracle reconoció el problema mediante una alerta de seguridad y publicó una mitigación provisional. Sin embargo, la empresa todavía no ha corregido por completo la vulnerabilidad, un detalle que eleva la presión sobre los clientes que dependen de PeopleSoft en entornos productivos.
Google, a través de su equipo Mandiant, confirmó además que varias víctimas ya están recibiendo demandas de extorsión. Esto sugiere que la operación no buscó solo acceso inicial, sino también monetizar rápidamente la información robada mediante amenazas de publicación.
Para lectores menos familiarizados con este tipo de incidentes, PeopleSoft es una suite empresarial muy usada en grandes instituciones para gestionar recursos humanos, finanzas y procesos administrativos. Una intrusión en ese tipo de sistemas puede abrir la puerta a datos sensibles de empleados, estudiantes, proveedores y operaciones internas.
Una vulnerabilidad crítica explotada durante más de dos semanas
Mandiant dijo que ShinyHunters venía explotando la falla desde el 27 de mayo. El punto más delicado es que el grupo habría mantenido esa actividad por más de dos semanas antes de que Oracle la señalara públicamente.
La vulnerabilidad fue descrita como un SSRF, o falsificación de solicitud del lado del servidor. En términos simples, ese tipo de falla permite que un atacante use un servidor vulnerable para enviar solicitudes hacia sistemas internos o recursos que normalmente no deberían estar expuestos.
Oracle indicó que el SSRF puede explotarse de forma remota. Eso reduce la barrera de entrada para los atacantes y explica por qué una brecha así puede escalar con rapidez cuando afecta software ampliamente desplegado.
De acuerdo con Mandiant, el grupo atacó aproximadamente 300 endpoints pertenecientes a 100 organizaciones usuarias de PeopleSoft. Esa cifra da una idea del alcance operativo de la campaña y de la velocidad con que fue replicada contra múltiples objetivos.
El peso del ataque recayó especialmente sobre el sector universitario. Alrededor del 68% de las organizaciones afectadas operaba dentro del ámbito de la educación superior, un dato que sugiere una concentración llamativa sobre instituciones con grandes volúmenes de información personal y administrativa.
Un investigador citado en el reporte señaló el martes que los responsables habían expuesto varios directorios, revelando un objetivo continuo sobre PeopleSoft. Esa pista ayudó a perfilar la campaña antes de que emergiera una imagen más completa del incidente.
Universidades entre las principales víctimas del ataque
La Universidad de Nottingham confirmó el miércoles que fue víctima de un hackeo. La institución reconoció que una cantidad “significativa” de datos de estudiantes quedó en manos de un actor de amenaza.
La confirmación llegó después de que ShinyHunters asegurara que la universidad figuraba entre sus víctimas más recientes. El grupo también publicó gigabytes de datos que afirmó haber obtenido durante la intrusión.
Este patrón encaja con el modelo ya habitual de las bandas de extorsión digital. Primero acceden al entorno, luego extraen la información y finalmente presionan a la organización con la amenaza de exponer el material si no reciben un pago.
Mandiant explicó que algunas organizaciones lograron bloquear la actividad o remediar las vulnerabilidades a tiempo. Otras, en cambio, sufrieron compromisos que terminaron con información publicada en el DLS de ShinyHunters.
DLS es la abreviatura de “data leak site” o sitio de filtración de datos. En la práctica, funciona como una vitrina de presión pública donde los atacantes muestran muestras o lotes completos de información robada para forzar negociaciones.
En uno de los casos observados, el DLS afirmó haber obtenido 48 GB de datos de una sola víctima. Aunque la cifra proviene del propio sitio del grupo, ilustra la magnitud potencial de las exfiltraciones cuando una intrusión logra avanzar sin ser contenida a tiempo.
Cómo operó ShinyHunters dentro de los entornos comprometidos
Los investigadores señalaron que los atacantes dejaron expuesto un servidor de preparación que contenía herramientas usadas en la campaña. Ese hallazgo permitió reconstruir parte de la secuencia operativa seguida tras la explotación inicial.
Un análisis de un script bash abandonado en ese entorno mostró actividades de reconocimiento sobre las organizaciones comprometidas. Entre ellas figuraban el mapeo de configuraciones de PeopleSoft y la revisión del programador de procesos.
Los atacantes también visualizaron configuraciones XML del servidor WebLogic. Ese paso resulta relevante porque ayuda a entender qué componentes y rutas internas revisaron para orientar el movimiento posterior dentro del ambiente.
Más adelante, los actores de amenaza establecieron una conexión SSH saliente hacia la dirección IP 176.120.22.24. Según Mandiant, esa dirección aloja el sitio de filtración de datos de ShinyHunters.
Antes de la salida de la información, los datos robados fueron comprimidos con la herramienta zstd. Ese detalle técnico es importante porque ofrece un indicador adicional para equipos defensivos que estén revisando telemetría, procesos y patrones de exfiltración.
Tanto Mandiant como Rapid7 están proporcionando indicadores detallados de compromiso. Ambas firmas también están aconsejando a los clientes de PeopleSoft sobre los pasos inmediatos que deberían seguir para contener riesgos adicionales.
El historial de ShinyHunters y la relevancia del caso
ShinyHunters ha estado activo al menos desde 2019. En los últimos años, el grupo se ganó un lugar entre las amenazas más persistentes y visibles por su capacidad para comprometer organizaciones de gran tamaño y exponer datos de millones de personas.
Entre las víctimas mencionadas en el historial reciente aparecen Ticketmaster, a través de la violación de Snowflake que alojaba los datos, el mayor banco de España, Santander, y Salesforce. A través de este último caso también se vieron involucradas Google y, según reportes previos, muchas otras empresas.
El grupo emplea distintas rutas para obtener acceso inicial. Entre ellas se incluyen configuraciones incorrectas en la nube, explotación de vulnerabilidades de software, robo de tokens OAuth, ataques a la cadena de suministro, phishing por voz y otras técnicas de ingeniería social.
Ese repertorio muestra que no se trata de un actor limitado a una sola táctica. Más bien, opera con flexibilidad y aprovecha el punto de entrada más débil disponible, algo que aumenta el riesgo para organizaciones con arquitecturas complejas o controles dispares.
El caso PeopleSoft resalta además un problema recurrente en ciberseguridad empresarial. Cuando una plataforma ampliamente usada mantiene una falla crítica sin parche definitivo, la ventana de exposición puede ampliarse con rapidez y beneficiar a actores ya experimentados en monetizar brechas.
Para sectores como el educativo, el impacto puede ser particularmente severo. Universidades y centros de educación superior administran grandes bases de datos personales, procesos financieros y sistemas heredados, una combinación que suele volverlos objetivos atractivos.
Qué implica para los usuarios de PeopleSoft
En este momento, el mensaje central para los clientes de PeopleSoft es de urgencia operativa. Oracle publicó una mitigación temporal, pero la ausencia de un parche completo obliga a reforzar monitoreo, revisión de logs y búsqueda activa de indicadores de compromiso.
También conviene recordar que una vulnerabilidad SSRF no siempre luce espectacular en su origen. Sin embargo, cuando se integra con reconocimiento interno, compresión de datos y canales de salida controlados por atacantes, puede convertirse en una ruta muy efectiva para el robo masivo de información.
La confirmación de extorsiones por parte de Google agrega otro nivel de presión. Una organización puede enfrentar no solo la interrupción técnica del incidente, sino además riesgos reputacionales, legales y regulatorios derivados de la exposición de datos.
En ataques de este tipo, la velocidad de respuesta suele marcar la diferencia entre un intento bloqueado y una filtración pública. Por eso, la recomendación de atender de inmediato los llamados de Mandiant y Rapid7 adquiere un peso especial en el contexto actual.
Hasta ahora, los hechos conocidos apuntan a una campaña activa, coordinada y ya materializada en múltiples compromisos. Mientras no exista una corrección total de la falla, todos los usuarios de PeopleSoft siguen bajo una alerta que no parece meramente teórica.
La combinación de una vulnerabilidad 0-day con calificación 9,8, un actor como ShinyHunters y víctimas concentradas en educación superior convierte este incidente en uno de los episodios de seguridad empresarial más relevantes del año. Para muchas organizaciones, la prioridad ya no es solo prevenir, sino verificar si el acceso ya ocurrió.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Estados Unidos
Protestas frenan proyectos de centros de datos por USD $130.000 millones en EE. UU.
Europa
FMI advierte que la IA avanzada podría destruir el sistema financiero global
Capital de Riesgo
Mistral buscaría recaudar €3.000 millones y elevar valoración a €20.000 millones en plena carrera IA
Blockchain