La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha emitido una alerta tras la comprometida de servidores heredados de Oracle Cloud a principios de este año, señalando un riesgo creciente de violaciones de seguridad para redes empresariales.
¿Qué dice CISA?
“La naturaleza de la actividad reportada representa un riesgo potencial para organizaciones e individuos, especialmente si las credenciales expuestas se reutilizan en otros sistemas no relacionados o están incrustadas (por ejemplo, en scripts, aplicaciones o herramientas de automatización).”
- Las credenciales incrustadas o codificadas son particularmente peligrosas porque son difíciles de detectar.
- Su exposición puede permitir un acceso no autorizado a largo plazo.
- Los materiales comprometidos incluyen: nombres de usuario, correos electrónicos, contraseñas, tokens de autenticación y claves de cifrado.
Recomendaciones de CISA ️
Para mitigar los riesgos, CISA recomienda a los administradores de red:
- Restablecer las contraseñas de usuarios afectados.
- Reemplazar credenciales incrustadas por métodos de autenticación más seguros.
- Implementar MFA resistente al phishing siempre que sea posible.
- Monitorear registros de autenticación en busca de actividad sospechosa.
¿Qué pasó con Oracle? ☁️
Oracle notificó por correo electrónico que un actor de amenazas robó credenciales de dos servidores obsoletos, aunque asegura que no hubo impacto en servicios activos de Oracle Cloud ni en datos de clientes.
Aunque los atacantes publicaron registros actualizados (de 2025) en BreachForums y compartieron datos válidos confirmados por múltiples clientes.
Según CybelAngel, en enero de 2025, un atacante instaló web shells y malware en servidores Gen 1 (Oracle Cloud Classic) y robó datos del sistema Oracle Identity Manager (IDM), incluidos:
- Contraseñas cifradas
- Correos electrónicos
- Nombres de usuario
También se reportó otro incidente en Oracle Health (antes Cerner) en enero, que afectó datos de pacientes en varios hospitales de EE.UU.
Conclusión
Aunque Oracle afirma que sus servicios actuales no fueron comprometidos, la exposición de credenciales antiguas pero aún válidas y su posible reutilización plantea una amenaza seria a las redes empresariales.
Si tu empresa usa soluciones de Oracle (o lo hizo en el pasado), es altamente recomendable revisar las credenciales y aplicar las medidas de seguridad sugeridas por CISA.