ShinyHunters comprometió a más de 100 empresas a través de un zero-day de Oracle PeopleSoft sin parchear.

      TL;DRShinyHunters explotó una vulnerabilidad de día cero en Oracle PeopleSoft sin parchear (CVE-2026-35273, CVSS 9.8) para violar más de 100 organizaciones. Dos tercios son universidades. Aún no hay parche.

      Oracle advirtió a los clientes el jueves sobre una vulnerabilidad crítica en su software PeopleSoft que los hackers ya han explotado para violar más de 100 organizaciones. La falla, CVE-2026-35273, tiene una puntuación CVSS de 9.8 y puede ser explotada a través de internet sin ninguna autenticación. Oracle no ha lanzado un parche.

      El aviso llegó un día después de que el grupo de ciberdelincuencia ShinyHunters reclamara la responsabilidad de la campaña de hackeo masivo. Mandiant de Google confirmó que el error que Oracle divulgó es el mismo que ShinyHunters está explotando. Mandiant dijo que notificó a más de 100 organizaciones globales, la mayoría de ellas en Estados Unidos.

      Aproximadamente dos tercios de las víctimas son universidades y colegios. Un miembro de ShinyHunters le dijo a TechCrunch que el grupo robó "cientos de miles de registros de estudiantes que contienen nombre completo, dirección, teléfono, correo electrónico, fecha de nacimiento, género, etnicidad, estado de inscripción, GPA, especialidad y número de identificación del estudiante." La Universidad de Nottingham fue mencionada entre las instituciones violadas.

      El 💜 de la tecnología de la UELos últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora! “Mientras varias organizaciones bloquearon con éxito la actividad o remediaron las vulnerabilidades, otras experimentaron compromisos, lo que resultó en la publicación de datos robados en el sitio web de filtración de datos de ShinyHunters,” escribió Mandiant. Oracle no respondió a la solicitud de comentario de TechCrunch.

      PeopleSoft es utilizado por grandes empresas y universidades para gestionar nómina, recursos humanos y registros de estudiantes. La vulnerabilidad afecta a las versiones 8.61 y 8.62 de PeopleTools. ShinyHunters explotó una cadena de vulnerabilidades antiguas y de día cero para atacar tanto instancias en la nube como locales, comprometiendo aproximadamente 300 servidores en más de 100 organizaciones.

      El ataque sigue un patrón. ShinyHunters ha pasado el último año atacando organizaciones que comparten el mismo software empresarial vulnerable. Campañas anteriores afectaron a empresas que utilizan Salesforce, Gainsight y la plataforma educativa Instructure. El grupo identifica la falla, encuentra cada empresa que ejecuta el software, roba datos y exige un rescate.

      Instructure pagó a los hackers a principios de este año después de haber sido violada dos veces. ShinyHunters también desfiguró las páginas de inicio de sesión de las escuelas que utilizan el portal Canvas de Instructure. La campaña de PeopleSoft es la más grande hasta ahora, y está en curso. Oracle recomendó mitigaciones pero no ha dicho cuándo estará disponible un parche.

      Para cualquier organización que ejecute PeopleSoft, la acción inmediata es aplicar las mitigaciones de Oracle y restringir el acceso a los servidores de PeopleSoft desde internet. La lección más amplia es una que la industria del software empresarial sigue reaprendiendo: cuando un día cero crítico afecta a un software utilizado por cientos de grandes organizaciones, el atacante solo necesita encontrarlo una vez. La IA está haciendo que el descubrimiento de vulnerabilidades sea más barato. Los defensores que parchean esas fallas no están acelerándose. Y grupos como ShinyHunters están industrializando la explotación de cada ventana entre la divulgación y la solución.