Todo lo que necesita saber sobre la brecha de datos de Oracle

El 20 de noviembre, una organización de ciberdelincuentes atacó Oracle’s E-Business Suite, extrayendo datos de casi 30 grandes corporaciones.

Todo lo que necesita saber sobre la brecha de datos de Oracle

Puntos destacados del artículo:

  • La organización cibercriminal conocida como Cl0p ha explotado una vulnerabilidad de día cero en Oracle E-Business Suite, provocando brechas críticas de datos en decenas de grandes corporaciones. Este grupo de ransomware exige pagos significativos a algunas de las mayores compañías del mundo, supuestamente incluyendo a Broadcom, Estée Lauder, Mazda y Canon. 
  • Una vulnerabilidad de día cero es una brecha de seguridad en un software, hardware o firmware desconocida por sus desarrolladores y, por tanto, susceptible de ser explotada por ciberdelincuentes y otros actores maliciosos. 
  • Hasta la fecha, más de 100 empresas se han visto afectadas por los ataques de Cl0p a Oracle EBS. En un periodo de 24 horas entre el 20 y el 21 de noviembre, el grupo explotó brechas y exfiltró datos de 29 empresas. Estas compañías tienen su sede desde Estados Unidos y Japón hasta Arabia Saudita, e incluyen corporaciones valoradas en cientos de miles de millones de dólares. 

Desde el jueves 20 de noviembre y continuando al día siguiente, la organización cibercriminal conocida como Cl0p explotó una vulnerabilidad de día cero en Oracle E-Business Suite, lo que llevó a brechas críticas de datos en decenas de grandes corporativos. El grupo de ransomware solicita pagos sustanciales a algunas de las empresas más grandes del mundo, entre ellas supuestamente Broadcom, Estée Lauder, Mazda y Canon. En un correo enviado por Cl0p y obtenido por los medios, los cibercriminales enfatizan que “no buscan poder político ni les importa ningún negocio”. En cambio, el único objetivo de la organización es forzar a las compañías atacadas a “pagar la suma reclamada”.

¿Quién es Cl0p?

El grupo cibercriminal que se ha atribuido los ataques contra clientes de Oracle E-Business Suite se denomina Cl0p. Este grupo de habla rusa existe al menos desde 2019 y, desde su origen, ha iniciado múltiples ataques de ransomware a gran escala. Cl0p es conocido por sus sofisticadas técnicas de extorsión y malware avanzado, y ha logrado extorsionar más de 500 millones de dólares hasta la fecha. 

Según la Cybersecurity and Infrastructure Security Agency (CISA) de EE. UU., Cl0p “se caracteriza por cambiar de malware con frecuencia y marcar tendencias mundiales en la distribución criminal de malware”. Considerado ampliamente “uno de los mayores distribuidores de phishing y malspam a nivel global”, Cl0p ha explotado brechas de datos en más de 8.000 empresas, incluyendo 3.000 organizaciones estadounidenses, desde que apareció hace seis años. 

¿Qué es una vulnerabilidad de día cero y cómo la explotó Cl0p?

Una vulnerabilidad de día cero es una brecha de seguridad en un software, hardware o firmware que es desconocida por sus desarrolladores y, por tanto, susceptible de ser explotada por ciberdelincuentes y otros actores maliciosos. Tal y como lo describe la Oficina de Tecnologías Innovadoras de la Universidad de Tennessee en su análisis

“Una vulnerabilidad de día cero es como una trampilla oculta en su aplicación o sistema operativo favorito”.

El término “día cero” hace referencia al momento en que los desarrolladores, especialistas en ciberseguridad y otros interesados se enteran del fallo de seguridad. Como indica el término, las vulnerabilidades de día cero no están siendo remediadas por los desarrolladores porque ignoran su existencia. Esta ceguera permite a los hackers aprovechar la brecha para robar y extraer datos sensibles, instalar malware y llevar a cabo otros actos maliciosos para cumplir diversos objetivos. 

En el ataque actual contra Oracle E-Business Suite, Cl0p ha explotado dos vulnerabilidades conocidas de día cero. Ambas afectan a las versiones 12.2.3 hasta 12.2.14 de Oracle EBS. 

  • CVE-2025-61882: Esta CVE (vulnerabilidades y exposiciones comunes) corresponde a una vulnerabilidad en la integración de BI Publisher dentro del software E-Business de Oracle. Según el National Cyber Security Centre del Reino Unido, esta CVE permite que hackers no autenticados “envíen solicitudes HTTP especialmente diseñadas al componente afectado, lo que puede resultar en la toma completa del sistema”. CVE 2025-61882 ha dado a Cl0p acceso directo al sistema objetivo. 
  • CVE-2025-21884: Esta vulnerabilidad afecta la interfaz de usuario (UI) Runtime de Oracle Configurator. Según la CISA, la CVE “permite a un atacante no autenticado con acceso de red vía HTTP comprometer Oracle Configurator.” Cuando se ejecuta con éxito, CVE-2025-21884 puede otorgar a los hackers acceso no autorizado a datos críticos o sensibles. 

¿Desde cuándo explota Oracle el grupo cibercriminal?

Los ataques de ransomware de Cl0p a Oracle E-Business Software se remontan a finales de septiembre.

En los últimos dos meses, el alcance de las acciones del grupo se ha expandido gradualmente, y actualmente Cl0p afirma haber atacado más de 100 organizaciones solo en Oracle EBS. Los datos de 77 empresas, a su vez, han sido filtrados a través de archivos torrent o enlaces magnet. 

¿Qué empresas se vieron afectadas por el ataque de ransomware?

Hasta el momento, se estima que más de 100 compañías se han visto afectadas por los ataques de Cl0p a Oracle EBS. En un lapso de 24 horas entre el 20 y el 21 de noviembre, el grupo habría aprovechado brechas y exfiltrado datos de otras 29 empresas. Estas compañías tienen sede en lugares como EE. UU., Japón y Arabia Saudita, e incluyen varias corporaciones valoradas en cientos de miles de millones de dólares. 

Empresas presuntamente afectadas en el ataque de ransomware del 20 de noviembre

  • Oracle
  • Michelin
  • Broadcom
  • The Estée Lauder Companies
  • Humana
  • Fruit of the Loom
  • Abbott Laboratories 
  • Grupo Bimbo
  • A10
  • Envoy
  • Canon
  • Greater Cleveland RTA
  • Frontrol
  • MAS Holdings
  • Trane Technologies
  • Treet Corp
  • University of Phoenix
  • L&L Products
  • Worley
  • Mazda 
  • Fleet Management Limited
  • Alshaya Group
  • Bechtel Corporation
  • WellBiz Brands, Inc.
  • Dooney & Bourke
  • Greenball
  • Sumitomo Chemical
  • Aljomaih Automotive Company (AAC)

¿Qué se está haciendo para mitigar los ciberataques?

Desde principios de octubre, Oracle ha emitido dos importantes alertas de seguridad notificando a los usuarios sobre las vulnerabilidades relacionadas con los ataques de día cero de Cl0p. La primera alerta de seguridad abordaba la CVE-2025-61882. “Esta vulnerabilidad es explotable remotamente sin autenticación, es decir, puede ser explotada a través de la red sin necesidad de un nombre de usuario y contraseña”, explicó Oracle en su alerta de seguridad. “Oracle recomienda encarecidamente que los clientes apliquen las actualizaciones proporcionadas por esta Alerta de Seguridad lo antes posible”. La actualización incluyó un documento sobre la disponibilidad del parche, instruyendo a los usuarios sobre cómo acceder e instalar esta actualización de seguridad. 

Oracle envió una segunda alerta de seguridad para abordar la CEV-2025-61884. Esta alerta también incluyó documentación sobre la disponibilidad del parche, e instaba a los usuarios a aplicar las actualizaciones cuanto antes para evitar una brecha de seguridad mayor u otras consecuencias negativas. 

¿Qué amenaza con hacer Cl0p si las empresas no cumplen?

Según el contenido del correo de Cl0p publicado por Mandiant, la firma de ciberseguridad propiedad de Google, la principal fuente de presión de Cl0p es la información sensible exfiltrada de Oracle EBS. En el mensaje, el grupo cibercriminal advierte que las empresas que no paguen el rescate verán su información de clientes expuesta, ya sea mediante venta a “actores del mercado negro”, publicación en el blog del grupo o a través de trackers de torrents. 

Mandiant también emitió un comunicado importante sobre el modus operandi de esta organización. La firma explicó que en campañas previas de Cl0p, “los actores suelen esperar varias semanas antes de publicar los datos de la víctima”. Esto sugiere que las compañías afectadas por el ataque más reciente aún disponen de cierto plazo antes de que los datos de clientes sean filtrados en alguno de los formatos habitualmente utilizados por Cl0p.

Vea las vulnerabilidades de sus proveedores con Z2Data

Para los fabricantes de equipos originales (OEM, por sus siglas en inglés) y otras empresas, el riesgo de proveedor es una variable dinámica e impredecible en la cadena de suministro. Como revelan los ataques de vulnerabilidad de día cero a Oracle, las empresas pueden enfrentar consecuencias graves derivadas de interrupciones en sus proveedores, y no siempre es posible una solución inmediata. Durante las últimas seis semanas, empresas Fortune 500 como Broadcom, Abbott Laboratories y Estée Lauder han sufrido importantes brechas de datos debido a la exposición por su proveedor de software, Oracle.

No debe aceptar la vulnerabilidad a riesgos de proveedores como estándar. Las empresas pueden utilizar una plataforma de gestión de riesgos en la cadena de suministro (SCRM, por sus siglas en inglés) para protegerse frente a riesgos potenciales derivados de sus proveedores.

Sin embargo, no es necesario aceptar la vulnerabilidad ante los riesgos de proveedores. Las empresas pueden utilizar una plataforma de gestión de riesgos en la cadena de suministro (Supply Chain Risk Management, SCRM) para fortalecerse ante amenazas potenciales de sus proveedores. SCRM Z2Data dispone de un hub de riesgos integral que contiene evaluaciones de riesgos sobre más de 100.000 proveedores a nivel mundial. Cada evaluación integra 12 factores únicos para entregar una valoración multidimensional de la amenaza asociada a un proveedor específico. Entre los factores de riesgo que analiza Z2Data se encuentran:

  • Dependencia de aprovisionamiento
  • Impacto de aranceles Impacto
  • Cumplimiento comercial
  • Riesgo geopolítico
  • Operaciones de manufactura
  • Salud financiera
  • Riesgo de quiebra
  • Riesgo ESG Risk
  • Ciberseguridad
  • Transparencia de datos
  • Materiales
  • Riesgo en la cadena de suministro electrónica

Con el Risk Hub de Z2Data, su organización dispone de visibilidad e inteligencia para identificar riesgos de forma proactiva, antes de que se conviertan en crisis irreversibles en la cadena de suministro. Para obtener más información sobre Z2Data y sus capacidades de análisis de riesgo de proveedores, solicite una demo gratuita con uno de nuestros expertos en producto.