✨︎ Resumen (TL;DR):
- La falla CVE-2026-35273 (gravedad 9.8) permitió accesos no autorizados a servidores sin ingresar contraseñas.
- El grupo criminal ShinyHunters robó datos personales de alumnos en más de 100 instituciones globales.
- CISA ordenó la reparación urgente del fallo tras confirmarse que el ataque ocurrió antes de existir un parche de seguridad.
El grupo de cibercriminales ShinyHunters explotó una falla crítica de día cero en el software Oracle PeopleSoft, logrando vulnerar los sistemas de más de 100 organizaciones globales, en su mayoría universidades, entre el 27 de mayo y el 9 de junio de 2026.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incorporó este fallo a su catálogo de vulnerabilidades explotadas el pasado 12 de junio, lo que obliga a las agencias federales a mitigar el riesgo de inmediato.
El problema de seguridad, registrado bajo la clave CVE-2026-35273 con una puntuación de gravedad extrema de 9.8, es un error de ejecución remota de código sin autenticación. Esta vulnerabilidad afecta al componente Environment Management Hub de las versiones 8.61 y 8.62 de PeopleSoft Enterprise PeopleTools.
Según la firma de ciberseguridad Mandiant, los atacantes no requirieron credenciales ni interacción de algún usuario para tomar el control absoluto del servidor afectado mediante un acceso de red a través del protocolo HTTP.
El grupo criminal, identificado por Mandiant como UNC6240, dirigió el 68% de sus ataques contra el sector de educación superior, principalmente en los Estados Unidos. Los atacantes sustrajeron expedientes estudiantiles que incluyen direcciones, números de teléfono, correos y fechas de nacimiento.
Cómo proteger los servidores vulnerables
Oracle aconsejó a los administradores de sistemas desactivar por completo el servicio de Environment Management Hub o bloquear los accesos externos a las rutas /PSEMHUB/* y /PSIGW/HttpListeningConnector en el perímetro de su red empresarial.
Por su parte, Mandiant advirtió que limitarse a usar reglas de cortafuegos de aplicaciones web (WAF) es insuficiente, ya que estos filtros de seguridad pueden ser evadidos por los atacantes.
Los expertos recomiendan a los equipos técnicos rastrear de forma activa indicios de compromiso dentro de sus redes, buscando archivos JSP inesperados, tráfico saliente sospechoso en el puerto 445 y modificaciones recientes en archivos XML.
Este ataque representa el segundo golpe importante de ShinyHunters al sector educativo en pocas semanas, tras haber vulnerado el sistema de aprendizaje Canvas en mayo. Los criminales continúan extorsionando a las escuelas afectadas bajo la de amenaza de publicar los datos robados.
