La seguridad en los sistemas de planificación de recursos empresariales (ERP) ha sufrido un golpe devastador con el descubrimiento de una de las campañas de extorsión digital más agresivas de los últimos meses. De acuerdo con informes técnicos conjuntos publicados por Mandiant y el Google Threat Intelligence Group (GTIG), el célebre sindicato de ciberdelincuencia ShinyHunters (rastreado por la comunidad de inteligencia como UNC6240) ha estado explotando de forma activa una crítica vulnerabilidad Oracle PeopleSoft que operaba bajo el radar como un exploit de día cero (zero-day). El incidente, que ha comprometido a más de un centenar de organizaciones a nivel global, expone la fragilidad de las plataformas de gestión interna cuando sus componentes de administración quedan expuestos al internet público sin la debida segmentación.
La campaña de ShinyHunters, caracterizada por una precisión quirúrgica y una automatización a gran escala, se ha cebado especialmente con el sector de la educación superior, donde estas suites de software gestionan datos de enorme valor, desde expedientes académicos hasta registros financieros de cientos de miles de estudiantes. Mientras las agencias de ciberseguridad gubernamentales emiten mandatos de emergencia para frenar la sangría de datos, los administradores de sistemas en todo el mundo se enfrentan a un desafío titánico: aplicar mitigaciones complejas en entornos de producción críticos antes de que sus redes sean completamente exfiltradas y expuestas en la dark web.
La anatomía de la vulnerabilidad Oracle PeopleSoft (CVE-2026-35273)
El núcleo de esta campaña de ciberataques radica en la explotación del identificador CVE-2026-35273, una vulnerabilidad de omisión de autenticación que conduce a la ejecución remota de código (RCE) y que ostenta una puntuación de gravedad casi máxima de 9.8 en la escala CVSS 3.1. Este fallo crítico reside en el componente conocido como «Updates Environment Management», específicamente en los puertos de enlace del Environment Management Hub (PSEMHUB).
Desde una perspectiva técnica, la vulnerabilidad se destaca por su alarmante facilidad de explotación:
- Vector de ataque remoto: El exploit puede ejecutarse a través de simples peticiones HTTP enviadas directamente al servidor comprometido.
- Sin interacción del usuario: A diferencia de las campañas de phishing convencionales, el atacante no requiere que ninguna víctima realice una acción o caiga en un engaño para activar el código malicioso.
- Pre-autenticación absoluta: No se necesitan credenciales válidas ni privilegios previos en el sistema para comprometer la infraestructura de PeopleSoft. Un atacante externo puede tomar el control del servidor objetivo de manera inmediata.
El mecanismo subyacente del ataque aprovecha fallas de deserialización de datos, específicamente mediante primitivas basadas en XMLDecoder dentro de la infraestructura del Environment Management Hub. Al enviar cargas de datos estructuradas en XML hacia rutas desprotegidas como /PSEMHUB/hub o el Integration Broker (/PSIGW/HttpListeningConnector), los atacantes logran evadir los controles lógicos del servidor web de Oracle. Esto les permite escribir archivos arbitrarios en el sistema de archivos (creando artefactos no deseados bajo la ruta del servidor web /webserv/.../PSEMHUB.war/) o forzar al servidor de la víctima a iniciar conexiones salientes de tipo SMB (Server Message Block) a través del puerto TCP 445 hacia dominios controlados por los atacantes.
Las versiones afectadas de forma directa por esta vulnerabilidad son las plataformas de Oracle PeopleSoft Enterprise PeopleTools 8.61 y 8.62. Sin embargo, los investigadores de seguridad advierten que las versiones heredadas y sin soporte oficial del fabricante también son altamente vulnerables, lo que agrava la situación para aquellas instituciones con presupuestos de TI limitados o sistemas legados.
Cronología del ataque y el descuido táctico de UNC6240
La campaña de explotación activa de ShinyHunters comenzó formalmente el 27 de mayo de 2026 y se prolongó con absoluta impunidad hasta el 9 de junio de 2026. Durante estas semanas, el grupo operó con la ventaja estratégica de un exploit de día cero, dado que Oracle no publicó su boletín de seguridad extraordinario hasta el 10 de junio de 2026.
No obstante, el éxito de la operación se vio comprometido por un grave descuido de seguridad operativa (OPSEC) por parte del propio grupo criminal. El analista de ciberseguridad conocido en la red social X como @nahamike01 descubrió e hizo pública la existencia de varios servidores de distribución (staging) pertenecientes a los atacantes que estaban completamente expuestos a la red.
Esta revelación permitió al equipo de respuesta a incidentes de Mandiant y al GTIG rastrear una secuencia de cinco direcciones IP consecutivas controladas por los ciberdelincuentes:
142.11.200.186142.11.200.187142.11.200.188142.11.200.189142.11.200.190
Cada una de estas máquinas ejecutaba un servidor web extremadamente básico implementado con el módulo SimpleHTTP de Python en el puerto 8888. Al acceder a estos directorios abiertos, los investigadores de Google pudieron descargar y analizar toda la caja de herramientas de ShinyHunters, incluyendo registros de comandos de consola compartidos (archivos .bash_history) que detallaban de forma cronológica cómo se estructuraban y lanzaban los ataques.
Infraestructura de Comando y Control (C2) y Tácticas de Evasión
El análisis de los servidores de distribución expuestos reveló que UNC6240 utiliza técnicas sofisticadas para enmascarar su tráfico y mantener persistencia en los sistemas vulnerados. En lugar de diseñar herramientas personalizadas y ruidosas de acceso remoto, el grupo optó por compilar y configurar agentes de la herramienta legítima de administración remota de código abierto MeshCentral.
Para evadir las alertas de los sistemas de detección y respuesta en endpoints (EDR), los atacantes renombraron y disfrazaron los binarios del agente de MeshCentral como procesos de servicios en la nube de Microsoft, utilizando nombres altamente convincentes como:
meshagent64-azure-ops.exemeshagent32-azure-ops.exemeshagent64-v2.exe
Estos binarios compilados de forma personalizada estaban programados estáticamente para conectarse mediante WebSockets protegidos (puerto 443) a su servidor de comando y control (C2) externo configurado en el subdominio wss://azurenetfiles.net:443/agent.ashx. La elección de la dirección azurenetfiles.net no fue casual; fue seleccionada con el propósito deliberado de imitar los endpoints legítimos del servicio «Microsoft Azure NetApp Files», logrando camuflarse con éxito en el tráfico TLS habitual de cualquier corporación que utilice servicios en la nube. Además, los registros de comandos descubiertos demostraron que los atacantes automatizaron la obtención de certificados SSL válidos de Let’s Encrypt mediante la herramienta de desarrollo acme-client, asegurando que las conexiones cifradas no levantaran sospechas de certificados autofirmados o no confiables.
El script fanout y el movimiento lateral
Una vez establecido el acceso inicial dentro del servidor ERP, ShinyHunters ejecutaba un script de automatización en Bash bautizado según el formato abreviado de la víctima: [victim_abbreviation]_fanout.sh. Este script tenía como objetivo acelerar el movimiento lateral por toda la red empresarial.
El script permitía realizar consultas masivas de comandos administrativos, buscar bases de datos activas mediante técnicas de «credential spraying» (probando contraseñas débiles contra cuentas administrativas del sistema como psoft, oracle o linuxadm) y distribuir un archivo de rescate en formato de texto plano denominado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT.
El sector académico bajo asedio: El impacto global y la campaña de extorsión
Mandiant ha confirmado el envío de notificaciones urgentes a más de 100 organizaciones afectadas a nivel global cuyas direcciones de red coinciden con servidores PeopleSoft comprometidos o expuestos sin parches. Los análisis demográficos indican una tendencia implacable: el 68 por ciento de las entidades objetivo pertenecen formalmente al sector de la educación superior, principalmente localizadas en los Estados Unidos.
Las universidades resultan ser un objetivo sumamente lucrativo para bandas de extorsión de datos como ShinyHunters. Estas instituciones administran repositorios colosales de información de identificación personal (PII), números de seguridad social, registros de facturación médica, datos de becas y pasarelas de pago.
Uno de los primeros incidentes confirmados públicamente ha sido el de la Universidad de Nottingham, en el Reino Unido. Portavoces de ShinyHunters confirmaron la exfiltración exitosa de más de 40 gigabytes de registros estudiantiles y datos financieros. Tras la negativa de la universidad a entablar negociaciones financieras de extorsión, el grupo de ransomware procedió a publicar directorios enteros de bases de datos robadas en su sitio de filtraciones de datos (Data Leak Site) el 9 de junio de 2026, cumpliendo sus amenazas de represalia.
Mitigación de Emergencia y Directiva Mandatoria de CISA
La gravedad de la explotación masiva obligó a la Agencia de Ciberseguridad y Seguridad de la Infraestructura de los Estados Unidos (CISA) a intervenir de urgencia. El 12 de junio de 2026, CISA incorporó de manera oficial la vulnerabilidad CVE-2026-35273 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV Catalog). La agencia estadounidense alertó que este fallo técnico no solo es utilizado para la exfiltración masiva de bases de datos, sino que ya está siendo integrado de manera activa dentro de sofisticadas campañas de despliegue de ransomware.
En el marco de la Directiva Operativa Vinculante (BOD) 26-04, CISA ha ordenado a todas las agencias del Poder Ejecutivo Civil Federal (FCEB) aplicar las mitigaciones correspondientes o, en su defecto, retirar del servicio activo de inmediato todas las instancias vulnerables antes del lunes 15 de junio de 2026. Esta ventana de tiempo de apenas tres días pone de manifiesto el nivel extremo de amenaza que representa esta vulnerabilidad para la infraestructura nacional.
Debido a que Oracle únicamente ha suministrado pautas de mitigación manual y parches específicos protegidos detrás de portales de soporte con suscripción de pago (en lugar de una actualización automatizada y masiva de descarga pública), los equipos de seguridad deben actuar con extrema celeridad de forma manual. Las directrices urgentes de remediación exigen:
- Restricción total de acceso: Bloquear de inmediato todo acceso externo desde internet hacia los endpoints del Environment Management Hub (PSEMHUB).
- Desactivación del componente: Si los servicios de PSEMHUB no son estrictamente obligatorios para la operación diaria, se recomienda detener y desactivar por completo los puertos del hub en todos los entornos de PeopleTools afectados.
- Auditoría forense activa: Realizar un análisis exhaustivo de los registros históricos del servidor web, buscando spikes anormales de peticiones en rutas PSEMHUB, y monitorizar los logs de firewall perimetrales en busca de conexiones no autorizadas al puerto TCP 445.