Nissan Americas —una división regional de Nissan Motor encargada de las operaciones de fabricación, comercialización y soporte del fabricante automotriz en el continente americano— confirmó que investiga una filtración de datos personales de empleados después de que actores de amenazas explotaran una vulnerabilidad crítica de día cero en Oracle PeopleSoft. La empresa informó el incidente mediante una notificación presentada ante la Oficina del Fiscal General de California, donde señala que fue una de las organizaciones afectadas por una campaña que, según Oracle, alcanzó a cientos de compañías que utilizan esta plataforma para administrar información de nóminas y recursos humanos.

En la comunicación dirigida a los afectados —antiguos y actuales empleados—, Nissan explicó que utiliza Oracle PeopleSoft para gestionar registros laborales, incluyendo información de remuneraciones, administración tributaria y otros antecedentes del personal. La compañía indicó que «Oracle nos informó que ocurrió un incidente cibernético y que los registros de personal de cientos de empresas pudieron haber sido obtenidos por los llamados actores de amenazas. Posteriormente supimos que Nissan fue específicamente un objetivo de este ataque».

La investigación continúa en desarrollo, por lo que Nissan señaló que aún no ha determinado el impacto completo del incidente. Sin embargo, estima que los atacantes pudieron acceder a información personal correspondiente a empleados actuales y anteriores de los Estados Unidos, Canadá, México y Brasil. Entre los datos potencialmente comprometidos figuran información de contacto, datos bancarios, números de identificación nacional, información financiera y tributaria, además de antecedentes de dependientes y beneficiarios.

Tras conocer el incidente, la empresa activó su plan de respuesta, contrató especialistas externos en ciberseguridad, implementó medidas para proteger los sistemas afectados y comenzó a colaborar con Oracle. Como medida preventiva, restringió el acceso a recibos de sueldo y modificaciones de depósitos bancarios para que solo puedan realizarse desde equipos corporativos o mediante conexiones VPN seguras, mientras incorpora verificaciones adicionales de identidad para las solicitudes relacionadas con nómina. Asimismo, informó que ofrecerá servicios de monitoreo de crédito y de la dark web a las personas afectadas cuando estén disponibles.

El incidente está relacionado con la explotación de la vulnerabilidad CVE-2026-35273, identificada por Oracle como una falla crítica que afecta a Oracle PeopleSoft PeopleTools, la cual informamos anteriormente en este blog. En su aviso de seguridad, el fabricante calificó la vulnerabilidad con una puntuación CVSS de 9,8 y advirtió que «una explotación exitosa de esta vulnerabilidad puede resultar en la toma completa del control de Oracle PeopleSoft PeopleTools». Oracle publicó mitigaciones de emergencia para reducir el riesgo mientras los clientes aplican las actualizaciones correspondientes.

Diversos medios especializados atribuyen la campaña al grupo de extorsión ShinyHunters, que aseguró haber comprometido más de 300 instancias de PeopleSoft pertenecientes a más de un centenar de organizaciones. Según la información publicada, la actividad maliciosa se desarrolló entre el 27 de mayo y el 9 de junio pasado. Mandiant confirmó posteriormente que la vulnerabilidad fue explotada como un día cero durante ese período, mientras que Oracle difundió el aviso de seguridad y las mitigaciones una vez detectados los ataques.