El pasado jueves 20 de marzo, un atacante bajo el alias rose87168 desató una tormenta en el mundo tecnológico tras la difusión de varios archivos de texto que supuestamente contenían datos comprometidos de la plataforma SSO (Single Sign-On) de Oracle Cloud. Aunque la compañía tecnológica ha negado categóricamente haber sufrido tal vulneración, la controversia sigue creciendo a medida que el atacante presenta más evidencias para respaldar sus afirmaciones.
Oracle, uno de los gigantes en servicios de nube, respondió rápidamente a las acusaciones, rechazando la existencia de cualquier brecha en su infraestructura. Según la firma, las credenciales publicadas no guardan relación con sus sistemas ni con sus clientes. Sin embargo, rose87168, ante las negaciones de Oracle, ha compartido evidencias adicionales, incluyendo una URL de Internet Archive que mostraría un archivo subido al servidor de inicio de sesión de Oracle, insinuando una conexión más directa con sus sistemas.
El debate no se detiene ahí. El atacante asegura haber extraído un total de 6 millones de registros, afectando a organizaciones principalmente en América Latina. Ha divulgado también una muestra de 10.000 líneas para reforzar su postura y ha comenzado a ofrecer el acceso a estos datos para la venta. Los analistas, en su revisión de esta muestra, concluyeron que los datos provienen de más de 1.500 organizaciones diferentes, una cifra que subraya la magnitud potencial de la filtración.
Un punto crítico en este escándalo es la referencia al CVE-2021-35587, una vulnerabilidad conocida en el Oracle Access Manager. Esta falla de software, identificada por primera vez en enero de 2022, permitiría a un atacante ejecutar código remotamente, comprometiendo así sistemas enteros. Rose87168 ha señalado esta vulnerabilidad como el método explotado para ingresar en los servidores de Oracle.
El análisis por parte de investigadores no ha favorecido a Oracle. A pesar de las declaraciones oficiales, ciertos datos de la filtración fueron confirmados como válidos por representantes de algunas de las organizaciones afectadas, aunque estos solicitaron permanecer en el anonimato. Además, se reveló una comunicación entre el atacante y un empleado de Oracle, en la cual se habría intentado negociar la entrega de detalles del exploit usado a cambio de pagos en la criptomoneda Monero.
En respuesta a la situación, Oracle desconectó el servidor implicado. Sin embargo, la empresa y los expertos en seguridad han enfatizado la importancia de remediar las vulnerabilidades existente, en particular aquellas relacionadas con sistemas críticos en la nube, para prevenir futuros ciberataques.
Este incidente ha arrojado luz sobre la importancia vital de mantener actualizados y protegidos los sistemas digitales, especialmente aquellos que son fundamentales para miles de organizaciones a nivel global. La presunta filtración de Oracle Cloud se convierte así en un recordatorio aleccionador sobre las potenciales y devastadoras consecuencias de las vulnerabilidades no parcheadas. En un entorno donde la seguridad de los datos es primordial, las empresas están obligadas a redoblar esfuerzos para fortalecer sus defensas contra amenazas cada vez más sofisticadas.
