✨︎ Resumen (TL;DR):
- El grupo ciberdelincuente ShinyHunters comprometió unas 300 instancias de Oracle PeopleSoft en más de 100 organizaciones internacionales.
- La Universidad de Nottingham confirmó el hackeo de sus servidores y la pérdida de datos financieros y de contacto el pasado 9 de junio.
- Los atacantes utilizaron una cadena de vulnerabilidades antiguas y de día cero para infiltrarse de forma lateral en las redes corporativas.
El grupo de ciberdelincuentes ShinyHunters comprometió la seguridad de más de 100 organizaciones tras vulnerar servidores de Oracle PeopleSoft. Esta campaña masiva de extorsión y robo de información afecta principalmente al sector educativo y corporativo a nivel internacional.
Oracle PeopleSoft es un software de gestión institucional que almacena datos financieros, de recursos humanos y registros escolares en organizaciones de gran escala.
La Universidad de Nottingham confirmó el ataque tras detectar actividad inusual en su sistema de registros estudiantiles Campus Solutions. Jason Carter, director de gobernanza y riesgos de la institución británica, explicó en un correo interno que están “asumiendo con precaución” que los atacantes accedieron a números de seguridad social, información financiera y datos de contacto de su comunidad.
Ante el incidente, la universidad desconectó los servidores afectados para iniciar una investigación forense junto a agencias de seguridad británicas.
Un ataque masivo mediante “cadenas” de vulnerabilidades
Los atacantes declararon al medio BleepingComputer que lograron infiltrarse en 300 instancias de PeopleSoft. Para conseguirlo, emplearon una combinación de vulnerabilidades conocidas y fallas de día cero (zero-day), aunque admitieron que la efectividad del método depende de la configuración de seguridad de cada servidor.
Un investigador independiente conocido como “Michael R” localizó directorios expuestos en internet que contenían las herramientas de los atacantes. Entre los archivos había scripts para descifrar contraseñas por fuerza bruta y agentes de MeshCentral. El análisis de seguridad vinculó directamente estas IP con la infraestructura digital de ShinyHunters.
Los registros de los servidores comprometidos revelaron que los hackers automatizaron el despliegue de una nota de rescate titulada “README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT”. Esta herramienta utiliza cuentas de administración comunes para propagarse de forma lateral dentro de las redes de las víctimas.
El historial de ShinyHunters en 2026
Este ataque no es un caso aislado. A principios de 2026, el grupo hackeó los servidores PeopleSoft de la cadena de hoteles Wynn Resorts, de donde extrajeron aproximadamente 800,000 registros de empleados. En mayo del mismo año, vulneraron la plataforma de aprendizaje Canvas, lo que detonó una alerta del FBI sobre sus operaciones.
Los especialistas recomiendan a los administradores de sistemas que utilicen PeopleSoft revisar de inmediato sus registros de red, buscar los indicadores de compromiso publicados y evaluar la desconexión temporal de los servidores que tengan acceso directo a internet.
