Un ciberataque de gran magnitud ha sacudido a la comunidad tecnológica y a las organizaciones que dependen de plataformas de gestión en la nube. El pasado jueves 20 de marzo, un individuo identificado como «rose87168» publicó archivos que, según afirma, contienen datos sustraídos de la plataforma de Single Sign-On (SSO) de Oracle Cloud. La filtración incluye información LDAP y menciona a multitud de empresas perjudicadas por lo que se describe como un robo masivo de datos.
Oracle rápidamente salió al paso negando cualquier violación en sus sistemas, asegurando que las credenciales reveladas no forman parte de su infraestructura y que no ha habido pérdida de datos de clientes. Sin embargo, la controversia no tardó en aumentar, ya que «rose87168» presentó supuestas pruebas que vincularían los datos a los servidores de Oracle. Entre las pruebas ofrecidas se cuenta una URL de Internet Archive que muestra un archivo .TXT relacionado con un correo de ProtonMail, subido aparentemente al servidor de inicio de sesión de Oracle.
Desde entonces, el atacante no sólo ha promovido la venta de los datos comprometedores —incluidos seis millones de registros pertenecientes a diversas organizaciones en América Latina—, sino que también ha ofrecido eliminar información específica a cambio de recompensas o intercambios de exploits de día cero (Zero-Day).
Las luces de alerta se encendieron con la publicación, el 25 de marzo, de una muestra de 10.000 líneas que sustentan las afirmaciones del filtro. Investigaciones preliminares sugieren un impacto extendido, al contener registros de más de 1.500 organizaciones. Según los expertos, la estructura y el volumen de la información filtrada parecen corroborar su legitimidad. Otros elementos, como los IDs de tenant y la exposición crítica de correos electrónicos personales, refuerzan la relevancia de esta vulneración.
El atacante ha señalado, además, la continua utilización por parte de Oracle Cloud de una versión vulnerable con la crítica CVE-2021-35587. Esta vulnerabilidad, con una puntuación CVSS de 9.8, permite potencialmente a un atacante no autenticado comprometer Oracle Access Manager, posibilitando la ejecución remota de código y control total del sistema afectado.
La situación provocó una serie de reacciones. Oracle desconectó el servidor afectado tras conocerse el incidente, y varios investigadores confirmaron la autenticidad de la filtración. Representantes de algunas empresas afectadas, bajo anonimato, corroboraron que la información expuesta era precisa. Esto ha desembocado en que expertos en seguridad subrayen la necesidad de actualizar y fortalecer los sistemas críticos, considerando el uso indebido de vulnerabilidades como la ya mencionada CVE-2021-35587.
El incidente subraya los desafíos de seguridad que enfrentan las plataformas en la nube actualmente, instando a las compañías a ser más proactivas en la defensa contra ciberamenazas. La filtración masiva de datos en Oracle Cloud no solo evidencia fallos en la seguridad, sino que también sirve como un caso aleccionador para reforzar los sistemas y procedimientos, con el fin de mitigar las siempre presentes amenazas del ciberespacio.
