Un terremoto digital ha sacudido la infraestructura corporativa y académica global durante junio de 2026. Una sofisticada campaña de extorsión masiva ha dejado al descubierto las debilidades de los sistemas de gestión interna de cientos de entidades. La pieza central de este desastre es una crítica vulnerabilidad Oracle PeopleSoft, identificada como CVE-2026-35273, la cual ha sido explotada activamente como un zero-day por el infame sindicato cibercriminal ShinyHunters (rastreado por Mandiant y el Google Threat Intelligence Group bajo el alias UNC6240). Entre el 27 de mayo y el 9 de junio de 2026, este grupo atacó de manera quirúrgica a más de un centenar de organizaciones globales, lo que culminó con la filtración de datos confidenciales y la emisión de un boletín de seguridad de emergencia fuera de ciclo por parte de Oracle el 10 de junio de 2026.
Anatomía de la vulnerabilidad Oracle PeopleSoft (CVE-2026-35273)
Para comprender la gravedad de esta amenaza, es necesario analizar el vector de ataque y el componente afectado. El fallo crítico reside en el componente Environment Management de Oracle People