Oracle ha reconocido de forma privada a ciertos clientes que sufrió una brecha de seguridad en un entorno heredado de Oracle Cloud, específicamente su plataforma Oracle Cloud Classic (Gen 1), en desuso desde 2017. Aunque la compañía sostiene públicamente que Oracle Cloud no fue comprometido, los atacantes han compartido evidencia que contradice esa afirmación, lo cual ha generado dudas en la comunidad de ciberseguridad y entre empresas afectadas.
🔍 ¿Qué sucedió realmente?
- Un actor de amenazas accedió a servidores Gen 1 (Oracle Cloud Classic) a principios de enero de 2025, utilizando un exploit de Java de 2020 para instalar un web shell y desplegar malware.
- La intrusión fue detectada a finales de febrero y afectó al sistema Oracle Identity Manager (IDM), permitiendo la exfiltración de correos electrónicos, contraseñas cifradas y nombres de usuario.
- La firma de ciberseguridad CybelAngel informó que Oracle había comunicado el incidente a algunos clientes seleccionados.
- El atacante, bajo el alias “rose87168”, publicó en BreachForums registros de datos presuntamente robados, incluyendo muestras de bases de datos, información LDAP y nombres de compañías.
- Parte de los datos filtrados fueron verificados como legítimos por empresas afectadas, aunque Oracle insiste en que “ningún cliente de Oracle Cloud experimentó pérdida de datos”.
⚕️ Brecha Separada en Oracle Health (Cerner)
Además del incidente en Oracle Cloud Classic, Oracle confirmó en privado otra brecha en Oracle Health (antes Cerner), afectando a hospitales y organizaciones de salud en EE. UU.:
- Detectada el 20 de febrero de 2025, en servidores de migración de datos heredados.
- El atacante usó credenciales comprometidas de clientes para acceder al sistema después del 22 de enero.
- El grupo responsable, identificado como “Andrew”, ha exigido millones de dólares en criptomonedas para no filtrar datos de pacientes.
- Sitios web en la web pública fueron creados para presionar a las instituciones afectadas a pagar el rescate.
Oracle Health no ha hecho declaraciones públicas ni ha respondido a solicitudes de prensa .
🧠 Puntos Clave para la Comunidad de Ciberseguridad
1. 🧱 ¿Un juego de palabras o un intento de ocultar el alcance?
Oracle insiste en que “Oracle Cloud no fue afectado”, pero el ataque sí comprometió Oracle Cloud Classic, un entorno gestionado por Oracle y con acceso a sistemas de identidad. Expertos califican esto como una estrategia semántica para minimizar la percepción del incidente.
2. 🔐 El rol de los sistemas heredados
El incidente destaca los riesgos ocultos de mantener entornos legados sin monitoreo constante ni actualizaciones de seguridad, especialmente cuando contienen datos sensibles o credenciales reutilizadas.
3. 📢 Transparencia limitada ante incidentes
Ambos casos reflejan una falta de comunicación proactiva por parte de Oracle, lo que podría afectar la confianza del cliente, especialmente en sectores críticos como la salud.
Aunque Oracle niega una brecha en su entorno cloud moderno, las evidencias, análisis técnicos y declaraciones privadas a clientes sugieren una grave vulnerabilidad explotada en su infraestructura heredada. A esto se suma una posible crisis de reputación si no se aborda con transparencia y responsabilidad.
Las organizaciones que utilizan servicios de Oracle, especialmente en entornos federados o con autenticación centralizada (SSO), deberían revisar urgentemente sus integraciones, credenciales, y registros de acceso para prevenir accesos no autorizados.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.