Por Canuto Oracle advirtió sobre una vulnerabilidad crítica en PeopleSoft que habría sido explotada por ShinyHunters en una campaña de intrusión masiva contra más de 100 organizaciones, muchas de ellas universidades en Estados Unidos, mientras aún no había un parche disponible.
***
- Oracle dijo que la falla crítica en PeopleSoft puede explotarse desde Internet sin autenticación.
- Mandiant vinculó el error con una campaña de ShinyHunters y notificó a más de 100 organizaciones globales.
- Dos tercios de las entidades afectadas serían instituciones de educación superior, según la investigación.
🚨 Alerta de seguridad crítica en PeopleSoft 🚨
Oracle informa sobre una vulnerabilidad explotable por hackers que afecta a más de 100 organizaciones, incluyendo universidades en EE.UU.
La falla permite el acceso sin autenticación y ha sido vinculada al grupo ShinyHunters.
Las… pic.twitter.com/vdApeb0HUE
— Diario฿itcoin (@DiarioBitcoin) June 11, 2026
Oracle advirtió a sus clientes empresariales sobre una vulnerabilidad clasificada como crítica en su software PeopleSoft. Ese sistema es usado por grandes organizaciones para gestionar nóminas y recursos humanos.
La alerta llegó un día después de que el grupo ShinyHunters afirmara haber explotado esa falla como parte de una campaña de hackeo masivo. Según el reporte publicado por TechCrunch, la operación habría impactado a más de 100 organizaciones.
La relevancia del caso va más allá de un incidente aislado. PeopleSoft forma parte del software clave que muchas empresas e instituciones utilizan para procesos internos sensibles, por lo que una intrusión puede abrir la puerta a información laboral, administrativa y personal.
Oracle publicó el aviso de seguridad el jueves. Para el momento en que se conoció la advertencia, la empresa todavía no había lanzado un parche para corregir la vulnerabilidad.
La compañía indicó que el fallo puede explotarse a través de Internet sin necesidad de autenticación. En términos prácticos, eso significa que un atacante no requiere contraseña ni acceso previo para intentar comprometer los servidores vulnerables.
Qué se sabe sobre la vulnerabilidad y la alerta de Oracle
Oracle recomendó a los clientes que usan PeopleSoft aplicar las mitigaciones disponibles para prevenir la explotación. Esa orientación llega en medio de un escenario delicado, porque el error ya habría sido aprovechado activamente por atacantes.
En ciberseguridad, una vulnerabilidad de este tipo se conoce como zero-day. El término se usa cuando el fabricante no ha tenido tiempo suficiente para desarrollar y distribuir una corrección antes de que la falla sea descubierta y explotada.
Ese detalle eleva la gravedad del incidente. Cuando no existe parche, las organizaciones dependen de medidas temporales de contención que no siempre resultan sencillas de desplegar en infraestructuras amplias.
Mandiant, la unidad de seguridad de Google especializada en investigación de ciberataques, dijo en una publicación de blog que el nuevo error de Oracle es el mismo que ShinyHunters está usando en su campaña contra clientes de PeopleSoft. Esa coincidencia conecta de forma directa la advertencia del proveedor con los compromisos reportados esta semana.
Oracle no respondió a una solicitud de comentarios de la publicación original. Esa ausencia dejó sin aclarar, al menos por ahora, cuándo podría llegar una actualización de seguridad completa.
Más de 100 organizaciones notificadas y foco en universidades
Mandiant señaló que notificó a más de 100 organizaciones globales en un esfuerzo por restringir el acceso a sistemas potencialmente vulnerables. La mayoría de esas entidades se encuentra en Estados Unidos.
El dato más llamativo es la concentración sectorial. Aproximadamente dos tercios de las organizaciones notificadas pertenecen al segmento de educación superior.
Esa observación coincide con lo que ShinyHunters había afirmado previamente. Un integrante del grupo dijo a TechCrunch que varias de las víctimas eran universidades y colegios.
Según Mandiant, algunas organizaciones lograron bloquear con éxito la actividad maliciosa o remediar las vulnerabilidades. Sin embargo, otras sufrieron compromisos que terminaron con datos robados publicados en el sitio de filtraciones de ShinyHunters.
El patrón sugiere una campaña amplia, con objetivos repetidos dentro de un mismo ecosistema tecnológico. Cuando numerosos clientes comparten el mismo software expuesto, una sola falla puede amplificar el daño a escala.
El tipo de datos que habrían sido robados
Uno de los elementos más sensibles del caso es la naturaleza de la información que los atacantes dicen haber extraído. En el ámbito universitario, ese material puede incluir expedientes estudiantiles y datos personales de alto valor.
El miembro de ShinyHunters compartió con TechCrunch un mensaje que aseguró haber enviado a una de las escuelas afectadas. En ese texto, los atacantes afirmaban haber robado cientos de miles de registros de estudiantes.
Esos registros contendrían nombre completo, dirección, teléfono, correo electrónico, fecha de nacimiento, género, etnia, estado de inscripción, GPA, especialidad e identificación del estudiante en todos los campus. La amplitud de los campos mencionados ilustra el potencial impacto para privacidad, cumplimiento regulatorio y riesgo reputacional.
Aunque las afirmaciones de un grupo criminal siempre requieren verificación independiente, la advertencia de Mandiant sobre compromisos reales y publicación de datos robados refuerza la seriedad del escenario. No se trata solo de intentos de acceso, sino de posibles exfiltraciones consumadas.
En organizaciones grandes, una filtración de este tipo puede afectar a estudiantes, empleados y terceros al mismo tiempo. También puede derivar en campañas posteriores de fraude, phishing dirigido o extorsión.
ShinyHunters y su historial de campañas contra software ampliamente usado
El caso de PeopleSoft no surge en el vacío. ShinyHunters ya ha sido vinculado con campañas recientes dirigidas a organizaciones que comparten plataformas de software vulnerables o mal protegidas.
En el último año, el grupo atacó a varias empresas que utilizan Salesforce y Gainsight. También dirigió operaciones contra software proporcionado por Instructure, una firma conocida en el sector educativo.
La lógica operativa parece repetirse. Una vez que los atacantes identifican un producto vulnerable y elaboran una lista de clientes potenciales, intentan obtener acceso para sustraer datos corporativos o de usuarios.
Después de eso, la presión pasa al terreno de la extorsión. Los atacantes amenazan con publicar la información si las víctimas no pagan un rescate.
A comienzos de este año, Instructure dijo que pagó a los hackers tras el compromiso de sus sistemas en dos ocasiones. Como parte de esa campaña, ShinyHunters también desfiguró las páginas de inicio de sesión de varias escuelas que usan el portal Canvas.
Por qué este incidente importa más allá de Oracle
Este tipo de ataques expone un problema estructural en la economía digital. Muchas organizaciones dependen de plataformas empresariales centralizadas para funciones críticas, lo que convierte a esos proveedores en puntos de concentración de riesgo.
Cuando un software de uso extendido presenta una falla explotable sin autenticación, el atacante gana una vía de entrada replicable. El efecto recuerda a otros episodios de riesgo sistémico tecnológico, donde una misma debilidad se propaga por múltiples sectores.
Para lectores del ecosistema de criptomonedas y tecnología financiera, el caso también deja una enseñanza clara. La seguridad de la infraestructura no depende solo de custodias, wallets o contratos inteligentes, sino de toda la cadena de software corporativo que maneja datos y operaciones sensibles.
Además, la publicación de información robada puede alimentar mercados clandestinos de datos. Esos mercados luego se conectan con nuevas estafas, usurpación de identidad y campañas de ingeniería social cada vez más sofisticadas.
La falta de un parche al momento de la advertencia aumenta la presión sobre administradores y equipos de respuesta. En ese contexto, aplicar mitigaciones, limitar la exposición pública de los servicios y revisar indicadores de compromiso se vuelve una prioridad inmediata.
Por ahora, el episodio deja tres hechos centrales. Existe una falla crítica en PeopleSoft, Mandiant la vinculó con una campaña activa de ShinyHunters y más de 100 organizaciones fueron notificadas ante el riesgo de compromiso.
También deja una señal de alerta para universidades y grandes empresas que dependen de software heredado o difícil de actualizar. En entornos donde circulan datos personales y administrativos masivos, cada día sin parche puede ampliar el costo potencial del incidente.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Biohacking
China inicia su primer ensayo masivo con células madre contra el envejecimiento
Capital de Riesgo
Inversores de SpaceX vía SPV no sabrán su participación real hasta meses después de la IPO
Noticias
Bluesky lanza chats grupales y gira hacia comunidades para competir con X
Estados Unidos