El grupo de ransomware Clop afirmó haber robado más de 1,3 terabytes de información de la reconocida universidad estadounidense, en un ataque vinculado a una vulnerabilidad zero-day de Oracle. Harvard asegura que el incidente afecta solo a una unidad administrativa menor y que los sistemas han sido parcheados.
La reconocida Universidad de Harvard, en los Estados Unidos, se encuentra investigando un posible robo masivo de datos luego de que el grupo cibercriminal de ransomware Clop la incluyera a la casa de estudios en su sitio de filtraciones en la red Tor, afirmando haber obtenido más de 1,3 terabytes de información. La universidad confirmó el incidente y lo atribuyó a una vulnerabilidad zero-day en el software Oracle E-Business Suite (EBS), recientemente corregida por el proveedor.
“Harvard es consciente de los reportes de que datos asociados a la universidad fueron obtenidos como resultado de una vulnerabilidad de día cero en Oracle E-Business Suite. Este problema ha afectado a múltiples clientes y no es específico de Harvard”, declaró un portavoz de Harvard University Information Technology a medios especializados de ciberseguridad en ese país. La institución añadió que, aunque la investigación sigue en curso, “el incidente afecta a un número limitado de partes asociadas con una pequeña unidad administrativa”.
El ataque fue revelado el pasado lunes 12 de octubre, cuando el grupo Clop publicó el nombre de Harvard en su portal de extorsión, junto con un mensaje que anunciaba: “Página creada, archivado de datos en progreso… un enlace torrent estará disponible pronto”. Días después, el grupo difundió enlaces que, según afirma, contienen los archivos sustraídos.
Los investigadores de Google Threat Intelligence Group (GTIG) y Mandiant confirmaron recientemente que decenas de organizaciones han sido blanco de la misma campaña, en la que los delincuentes enviaron correos electrónicos de extorsión a ejecutivos de empresas afectadas por vulnerabilidades en Oracle EBS. Según estos equipos, el ataque habría comenzado entre julio y agosto de 2025 y presenta vínculos con el grupo de ciberdelincuencia FIN11, asociado previamente a operaciones del mismo Clop.
Aunque no se ha verificado el contenido de los archivos filtrados, la información almacenada en un entorno Oracle EBS suele incluir datos financieros, de clientes, proveedores, recursos humanos e inventarios, lo que aumenta los riesgos de exposición.
Oracle reconoció oficialmente la falla, catalogada como CVE-2025-61882, y lanzó un parche de emergencia para mitigarla. “Tras recibirlo de Oracle, aplicamos la actualización correctiva. Seguimos monitoreando y no hay evidencia de compromiso en otros sistemas de la universidad”, aseguró el portavoz de la Universidad de Harvard.
El grupo Clop, activo desde 2019 y de habla rusa, es conocido por su modelo ransomware-as-a-service (RaaS) y por campañas de “doble extorsión”, en las que roba y publica datos para presionar a las víctimas. En los últimos años ha aprovechado vulnerabilidades en plataformas como MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U y Accellion FTA, afectando a cientos de organizaciones en todo el mundo.
Harvard sería, hasta ahora, la primera institución confirmada en esta nueva ola de ataques que explotan fallas en Oracle EBS, aunque los analistas advierten que más víctimas podrían aparecer en los próximos días.