Oracle reconoció de manera privada ante sus clientes que sufrió una filtración de datos en un entorno heredado, conocido como Oracle Cloud Classic, que dejó de utilizarse en 2017. Según la empresa, los datos comprometidos son antiguos y no confidenciales. Sin embargo, el actor de amenazas detrás del ataque ha estado compartiendo información más reciente —incluso de 2025— en foros de hacking, lo que pone en duda la versión oficial de Oracle.
Cómo se realizó el ataque
De acuerdo con la firma de ciberseguridad CybelAngel, el atacante aprovechó una vulnerabilidad de Java de 2020 para infiltrarse en los servidores Gen 1 de Oracle. Una vez dentro, instaló un shell web, malware y extrajo información sensible de la base de datos Oracle Identity Manager (IDM). Entre los datos robados se encuentran nombres de usuario, correos electrónicos, contraseñas en hash y registros LDAP.
Pese a los hechos reportados, Oracle declaró a medios como BleepingComputer que no hubo ninguna vulneración en Oracle Cloud actual, y que las credenciales filtradas no pertenecen a su infraestructura activa. Sin embargo, expertos como Kevin Beaumont cuestionan esa postura: aseguran que la empresa utiliza una estrategia de lenguaje para desvincular su responsabilidad, aunque los servicios heredados siguen siendo gestionados por Oracle.
Una URL archivada reveló que el atacante subió un archivo con su correo electrónico a uno de los servidores de Oracle. Aunque esa evidencia fue eliminada de Archive.org, múltiples empresas afectadas validaron muestras de los datos filtrados, confirmando que la información robada es real y reciente.
Segundo incidente: violación en Oracle Health: Ataque dirigido al sector salud
Oracle también notificó de forma privada una violación en Oracle Health (anteriormente Cerner), que afectó a hospitales y organizaciones médicas en EE. UU. Según las comunicaciones internas, los atacantes accedieron a los servidores de migración heredados de Cerner utilizando credenciales de clientes comprometidas.
Los datos robados incluyen información médica de pacientes. Un actor de amenazas identificado como “Andrew” está extorsionando a los hospitales afectados, exigiendo millones de dólares en criptomonedas para no filtrar la información. Incluso creó sitios web en la web abierta para presionar públicamente a las instituciones a pagar.
Hasta el momento, Oracle no ha dado declaraciones oficiales sobre el incidente en Oracle Health y continúa negando públicamente la gravedad de la filtración en su infraestructura heredada, a pesar de la creciente evidencia y del impacto real en múltiples sectores.
Fuente: https://www.linkedin.com/pulse/oracle-confirma-en-privado-sus-clientes-la-violaci%C3%B3n-de-nube-unglc/
