CVE-2026-35273: el zero-day en PeopleSoft que nadie parchó a tiempo y costó gigabytes de datos

El grupo ShinyHunters necesitó menos de una semana para drenar 48 gigabytes de datos de una sola víctima. Lo hicieron explotando CVE-2026-35273, una vulnerabilidad en PeopleSoft — el software de gestión de recursos humanos y administración académica de Oracle — calificada con 9.8 sobre 10 en la escala de severidad CVSS. Y lo hicieron durante más de dos semanas antes de que Oracle siquiera reportara la falla públicamente.

Fue el equipo de Mandiant — la división de respuesta ante incidentes de Google — quien identificó la explotación activa. Para cuando el análisis se publicó, el 12 de junio de 2026, alrededor de 100 organizaciones ya habían sido comprometidas, con aproximadamente 300 endpoints afectados. La Universidad de Nottingham fue la única en confirmar públicamente que fue víctima, con "datos significativos de estudiantes y alumni" expuestos. El análisis independiente de Rapid7 corroboró los hallazgos de Mandiant.

Cómo funciona el ataque: sin autenticación, desde afuera

CVE-2026-35273 es una vulnerabilidad de tipo SSRF (Server-Side Request Forgery) que puede ser explotada de forma remota y sin autenticación previa. En términos concretos: un atacante desde afuera de la red puede engañar al servidor de PeopleSoft para que haga solicitudes internas en su nombre. Eso abre la puerta a la exfiltración de datos almacenados en el sistema y al movimiento lateral dentro de la infraestructura de la organización.

ShinyHunters es un grupo de ransomware activo desde 2019 con historial documentado de ataques a plataformas de escala masiva, incluyendo Ticketmaster y Snowflake. Su metodología es consistente: encontrar una vulnerabilidad en software empresarial de uso generalizado, escalar rápidamente a la mayor cantidad de objetivos posible, y extraer datos antes de que llegue el parche. La elección de PeopleSoft no fue casual — es el tipo de software que corre en silencio durante años sin que nadie lo toque, lo cual lo convierte en blanco ideal.

Oracle tardó — y el parche completo aún no existe

La cronología es difícil de defender. La explotación activa comenzó el 27 de mayo de 2026. Pasaron más de dos semanas antes de que Oracle publicara una mitigación provisional. A la fecha del artículo de Ars Technica, no existía un parche completo disponible. Eso significa que, mientras este texto se publica, las organizaciones que usan PeopleSoft siguen expuestas a una vulnerabilidad con score 9.8 para la cual el proveedor no tiene solución definitiva.

Aproximadamente el 68% de las organizaciones afectadas pertenecen al sector de educación superior — lo cual refleja tanto la penetración de PeopleSoft en universidades como la relativa menor madurez en seguridad de esas instituciones frente a empresas privadas de sectores regulados. Pero PeopleSoft también se usa en grandes corporaciones, organismos públicos y empresas de servicios. El perfil del ataque es amplio.

Hay algo que este caso ilustra con una claridad brutal: la velocidad de respuesta de tu proveedor de software ante una vulnerabilidad crítica es tan importante como las funcionalidades que ese software tiene. Dos semanas de explotación activa antes de cualquier comunicación oficial no es un accidente — es un proceso de gestión de vulnerabilidades que falló.

Para una PyME argentina que usa un ERP, un sistema de RRHH o cualquier software de gestión en la nube, la pregunta concreta que hay que hacerse es: ¿cuánto tarda mi proveedor en notificarme y parchear una vulnerabilidad crítica? ¿Hay un canal de comunicación establecido? ¿Recibo alertas automáticas? El costo de no tener esas respuestas puede medirse en gigabytes de datos de clientes en manos de ShinyHunters.