Oracle Corp. ha confirmado de manera privada a sus clientes que un agente de amenazas accedió ilícitamente a un sistema informático y sustrajo credenciales de inicio de sesión obsoletas de los usuarios. Esta admisión se produce tras varias semanas de negaciones públicas y representa el segundo incidente de ciberseguridad que la compañía ha comunicado a sus clientes en los últimos meses. Según informes de Bloomberg, personal de Oracle informó a clientes selectos durante esta semana que atacantes comprometieron un «entorno heredado» y obtuvieron acceso no autorizado a datos de autenticación, incluyendo nombres de usuario, claves de acceso y contraseñas cifradas.
Se ha convocado al FBI y a la empresa de ciberseguridad CrowdStrike para investigar el incidente.
Esto marca un cambio significativo con respecto a las declaraciones públicas anteriores de Oracle que negaban categóricamente cualquier incumplimiento.
Cuando surgieron por primera vez informes en marzo de un actor de amenazas que intentaba vender 6 millones de registros de datos supuestamente robados de la infraestructura de Oracle Cloud, la compañía insistió: “No ha habido ninguna violación de Oracle Cloud.
Las credenciales publicadas no son para Oracle Cloud. Ningún cliente de Oracle Cloud experimentó una vulneración ni perdió ningún dato”.
Los investigadores de seguridad han criticado la respuesta de Oracle, sugiriendo que la compañía está participando en un «juego de palabras» al cambiar el nombre de los sistemas comprometidos a «Oracle Classic» para mantener su afirmación de que «Oracle Cloud» no fue violada.
«Oracle rebautizó los antiguos servicios de Oracle Cloud como Oracle Classic. Oracle Classic tiene el incidente de seguridad», señaló el experto en ciberseguridad Kevin Beaumont.
«Oracle lo está negando en ‘Oracle Cloud’ al utilizar este alcance, pero todavía son los servicios en la nube de Oracle los que administra Oracle».
Si bien Oracle intenta restar importancia a la gravedad afirmando que el sistema comprometido no se ha utilizado en ocho años, las fuentes contradijeron esta afirmación y revelaron que los datos robados incluían credenciales de tan solo 2024.
El actor de amenazas, utilizando el apodo de «rose87168», inicialmente exigió un pago de extorsión de 20 millones de dólares antes de ofrecer vender los datos en foros de piratería.
Después de obtener acceso inicial, el atacante supuestamente implementó un webshell y malware dirigido específicamente a la base de datos Identity Manager (IDM) de Oracle ya en enero de 2025.
Este incidente es independiente de otra infracción que Oracle reveló a los clientes de atención médica el mes pasado.
En ese ataque, los piratas informáticos se infiltraron en los servidores heredados de migración de datos de Cerner después del 22 de enero de 2025, utilizando credenciales de clientes comprometidas para robar información de pacientes de múltiples organizaciones de atención médica de EE. UU.
El manejo por parte de la empresa de estos incidentes de seguridad ya ha provocado consecuencias legales.
Una demanda colectiva presentada en el Tribunal de Distrito de EE. UU. para el Distrito Oeste de Texas acusa a Oracle de no proteger la información privada y de ocultar la infracción a los usuarios afectados más allá del plazo de notificación requerido de 60 días.
Los expertos en seguridad advierten que estas violaciones socavan fundamentalmente los supuestos de seguridad en la nube. «Los clientes de la nube estaban comprometidos con una promesa de seguridad fundamental: el aislamiento y la segregación de los inquilinos contienen violaciones», dijo Sunil Varkey, asesor de Beagle Security.
«Sin embargo, se informó que un solo ataque expuso 6 millones de registros en 140.000 inquilinos… rompiendo esa ilusión».
Mientras continúan las investigaciones, Oracle aún tiene que hacer una declaración pública reconociendo cualquiera de las violaciones. Mantiene su patrón de divulgaciones privadas a los clientes afectados mientras permanece públicamente en silencio sobre los incidentes.
