Santiago, 04 de abril de 2025 – En los últimos días, un ciberataque a los servicios SaaS de Oracle ha cobrado notoriedad en la comunidad de ciberseguridad. Sin embargo, la compañía ha evitado pronunciarse públicamente sobre el incidente.
El 20 de marzo de 2025, un usuario identificado como «rose87168» afirmó en BreachForums haber accedido a seis millones de registros, incluyendo nombres de usuario, direcciones de correo electrónico, contraseñas cifradas y credenciales de autenticación sensibles, como información de Single Sign-On (SSO) y Lightweight Directory Access Protocol (LDAP). También se reportó la exfiltración de archivos Java Key Store (JKS) y claves JPS de Enterprise Manager.
Hasta el momento, Oracle no ha emitido una declaración pública oficial ni ha respondido a consultas de medios, entre ellos trendTIC en Chile. No obstante, ha notificado a los clientes afectados y reforzado las medidas de seguridad en torno a sus servidores Gen 1. La compañía ha insistido en que sus servidores Gen 2 no se vieron comprometidos y ha negado cualquier brecha en su infraestructura principal de Oracle Cloud.
Las investigaciones sugieren que el atacante habría obtenido acceso a los sistemas de Oracle en enero de 2025, explotando una vulnerabilidad de Java descubierta en 2020 para desplegar una web shell y malware dirigidos a la base de datos de Oracle Identity Manager (IDM).
El experto en seguridad Kevin Beaumont advirtió que, pese a las negativas de Oracle sobre una posible brecha en Oracle Cloud, el atacante presentó pruebas de acceso no autorizado a servidores gestionados por la empresa, incluyendo la capacidad de cargar archivos en login.us2.oraclecloud.com. Además, se filtró una grabación de una reunión interna donde se discutía el incidente, lo que sugiere que Oracle tenía conocimiento del ataque, pero optó por no divulgarlo completamente al público.
Este caso expone los desafíos que enfrentan las grandes empresas al proteger sistemas heredados mientras migran a plataformas más modernas. Expertos advierten que, si estos incidentes continúan escalando, podrían generar efectos en cascada en la seguridad empresarial y en las cadenas de suministro. Se recomienda a los clientes afectados restablecer sus credenciales, monitorear actividades sospechosas e implementar medidas de seguridad adicionales.