Oracle ha confirmado finalmente que un atacante robó y filtró credenciales extraídas de dos servidores obsoletos, aunque niega categóricamente que su infraestructura Oracle Cloud (OCI) haya sido comprometida.
“Oracle desea afirmar de manera inequívoca que Oracle Cloud—también conocido como Oracle Cloud Infrastructure u OCI—NO ha sufrido una brecha de seguridad“, dice la notificación enviada por correo a los clientes desde
replies@oracle-mail.com.
¿Qué ocurrió exactamente? ️♂️
Según Oracle:
El atacante accedió a dos servidores antiguos que nunca formaron parte de OCI.
Las contraseñas robadas estaban cifradas o hasheadas, por lo que no se habrían podido usar para comprometer cuentas y ningún entorno de cliente, servicio en la nube o dato habría sido afectado.
Sin embargo, esta explicación es cuestionada por expertos, como el analista de ciberseguridad Kevin Beaumont, quien señala que Oracle podría estar jugando con las palabras:
“Oracle renombró sus servicios antiguos como Oracle Classic. Esa es la plataforma comprometida. Oracle lo niega usando un tecnicismo, pero sigue siendo parte de los servicios en la nube que Oracle gestiona”, señaló Beaumont.
¿Qué datos se filtraron?
El incidente fue revelado en marzo, cuando un actor de amenazas llamado “rose87168” puso a la venta 6 millones de registros en el foro BreachForums.
A pesar de que Oracle afirma que se trata de “datos antiguos de bajo riesgo”, BleepingComputer verificó que parte de la información filtrada es válida y contiene:
- Nombres de usuario LDAP
- Correos electrónicos
- Nombres reales y apellidos
- Otros datos identificativos
Algunos registros incluso datan de finales de 2024 y 2025, contradiciendo la narrativa de que se trata solo de datos de 2017 o anteriores.
Oracle Health también fue afectado
Este incidente llega poco después de otro incidente en Oracle Health (anteriormente Cerner), donde en enero de 2025 se filtraron datos de pacientes de múltiples hospitales en EE.UU.
Un atacante identificado como “Andrew” estaría extorsionando a estas instituciones, exigiendo millones en criptomonedas para no divulgar la información robada.
¿Qué se sabe del ataque? ️
Según la firma de ciberseguridad CybelAngel, el atacante:
Instaló un web shell y malware en servidores de la generación 1 de Oracle Cloud (Oracle Classic) desde enero de 2025.
Robó información desde la base de datos de Oracle Identity Manager (IDM) y la filtración no fue detectada hasta finales de febrero.
Conclusión
Aunque Oracle insiste en que “no fue una brecha en Oracle Cloud”, los hechos indican lo contrario.
El incidente sí comprometió servicios de nube gestionados por Oracle, aunque en su versión “clásica” o descontinuada, afectando la confianza de algunos clientes.