Vulnerabilidad crítica en Oracle PeopleSoft expone datos de cientos de organizaciones a nivel global

Qué pasó

El grupo de ransomware identificado como ShinyHunters explotó una vulnerabilidad de día cero en la plataforma Oracle PeopleSoft desde el pasado 27 de mayo, aproximadamente dos semanas antes de que Oracle comunicara oficialmente la existencia del fallo. La brecha quedó registrada como CVE-2026-35273 y presenta una calificación de severidad de 9,8 sobre 10, lo que la sitúa entre las más críticas del año en curso.

De acuerdo con el equipo de seguridad Mandiant, perteneciente a Google, se trata de una vulnerabilidad de tipo SSRF (falsificación de solicitudes del lado del servidor), la cual permite a los atacantes enviar peticiones desde un servidor comprometido hacia sistemas internos de la organización afectada. Oracle confirmó que la falla es explotable de forma remota y, si bien publicó una mitigación parcial, aún no ha liberado un parche definitivo.

Hasta el miércoles de esta semana, ShinyHunters había dirigido sus ataques contra aproximadamente 300 puntos de conexión distribuidos en cerca de 100 organizaciones usuarias del software. Cerca del 68 por ciento de las entidades afectadas pertenecen al sector de educación superior. La Universidad de Nottingham confirmó oficialmente haber sido víctima del incidente, tras la publicación de gigabytes de datos en el sitio de filtración del grupo.

El análisis técnico de Mandiant reveló que los atacantes ejecutaron un script en bash que permitió realizar tareas de reconocimiento sobre las organizaciones comprometidas, incluyendo el mapeo de configuraciones de PeopleSoft, la revisión del programador de procesos y archivos de configuración XML del servidor WebLogic. Posteriormente, los actores establecieron una conexión SSH saliente hacia una dirección IP asociada al sitio de filtración de ShinyHunters, desde donde comprimieron los datos robados utilizando la herramienta zstd. El grupo afirmó haber recuperado 48 gigabytes de información de una sola víctima.

Contexto

Oracle PeopleSoft es una de las suites de gestión de recursos humanos, finanzas y operaciones más utilizadas a nivel corporativo y en instituciones de educación superior en el mundo. Su presencia masiva en entornos universitarios y gubernamentales la convierte en un objetivo recurrente para grupos de ransomware, dado el alto valor de los datos personales y financieros que administra.

El caso de ShinyHunters se inscribe en una tendencia creciente de ataques a proveedores de software empresarial, donde la explotación de una única vulnerabilidad permite comprometer a múltiples organizaciones de manera simultánea. Este modelo, conocido como ataque a la cadena de suministro de software, ha ganado protagonismo en los últimos años ante la concentración de proveedores críticos en la infraestructura tecnológica global.

La gravedad del incidente radica, además, en el tiempo transcurrido entre el inicio de la explotación y la notificación oficial. Mandiant advirtió que los atacantes mantuvieron un servidor de preparación accesible, con herramientas y directorios expuestos, lo que facilitó el rastreo posterior de la operación. Este tipo de exposiciones suelen ser aprovechadas por investigadores para reconstruir la cadena de ataque, pero también evidencian el nivel de descuido operativo de algunos grupos cibercriminales.

El modelo de extorsión empleado por ShinyHunters contempla la publicación de los datos sustraídos en su propio sitio de filtración como mecanismo de presión para obtener el pago del rescate, una práctica que se ha consolidado como estándar en el ecosistema del ransomware durante los últimos tres años.

Impacto para empresas chilenas

En Chile, Oracle PeopleSoft es utilizado por diversas instituciones públicas, universidades y empresas de gran tamaño para la gestión de recursos humanos y procesos administrativos. Aunque hasta el momento no se han reportado incidentes confirmados en organizaciones locales, la presencia del software en el mercado corporativo chileno sitúa a varias entidades en una zona de riesgo potencial.

Las universidades chilenas que han adoptado PeopleSoft para la administración de sus comunidades académicas podrían verse expuestas si no aplican las mitigaciones recomendadas por Oracle. Instituciones de educación superior con sistemas legados o con procesos de actualización lentos son particularmente vulnerables a este tipo de ataques, dado que el software suele operar con privilegios elevados sobre bases de datos sensibles.

Para las empresas chilenas, el caso subraya la necesidad de fortalecer los procesos de gestión de vulnerabilidades y de monitorear de forma continua los indicadores de compromiso asociados a esta clase de fallas. La mitigación parcial publicada por Oracle debe aplicarse con carácter urgente, en tanto se espera el parche definitivo. Adicionalmente, las organizaciones deben revisar los registros de acceso a sus servidores PeopleSoft en busca de conexiones sospechosas hacia direcciones IP externas.

El episodio también pone en relieve la dependencia del mercado local respecto de proveedores globales de software empresarial y la importancia de diversificar las estrategias de respaldo y protección de datos. Sectores como la banca, la salud y la administración pública, que manejan grandes volúmenes de información personal, deberían evaluar con prontitud su exposición a esta vulnerabilidad.

Qué sigue

Oracle se encuentra desarrollando el parche definitivo para la vulnerabilidad CVE-2026-35273, cuya publicación se espera en las próximas semanas. Mientras tanto, se recomienda a las organizaciones aplicar las mitigaciones temporales disponibles y reforzar el monitoreo de sus entornos PeopleSoft.

El caso probablemente intensifique el debate sobre la responsabilidad de los proveedores de software frente a la explotación de vulnerabilidades conocidas y la necesidad de establecer estándares más estrictos de divulgación y respuesta en la industria. Para el ecosistema empresarial chileno, el incidente constituye una alerta para revisar las dependencias tecnológicas y acelerar los procesos de actualización de software crítico.