La empresa reconoció en un comunicado que un actor de amenaza robó datos desde «dos servidores obsoletos», pero aseguró que no eran válidos para Oracle Cloud. Mientras tanto, un medio especializado asegura que las evidencias del atacante darían cuenta de registros de 2024 y 2025.
Oracle reconoció ante sus clientes una intrusión a «dos servidores obsoletos» de la empresa, lo que derivó en el robo de datos, confirmando en parte el incidente que diversos medios y especialistas han sostenido desde hace varios días.
En la notificación del incidente enviada por correo electrónico a sus clientes, la empresa declaró “inequívocamente que Oracle Cloud, también conocida como Oracle Cloud Infrastructure u OCI, NO ha sufrido ninguna vulneración de seguridad”, y añadió que «No se ha penetrado ningún entorno de clientes de OCI. No se ha visto ni robado ningún dato de clientes de OCI. Ningún servicio de OCI se ha interrumpido ni comprometido de ninguna manera».
Pese a la categórica declaración, continúan las especulaciones sobre el real alcance del incidente, esto abalado por evidencias presentadas por investigadores de ciberseguridad y actores de amenazas, que apuntaban a una filtración masiva en los servicios de la compañía.
El medio especializado Bleeping Computer sostiene que confirmó con clientes la veracidad y vigencia de los datos proporcionados por el atacante identificado como «rose87168», indicando además en un reciente articulo que «aunque Oracle les dijo a sus clientes que se trataba de datos heredados antiguos y no confidenciales, el actor de amenazas detrás de la violación compartió datos con BleepingComputer desde fines de 2024 y luego publicó registros más nuevos de 2025 en BreachForums».
A finales de marzo, “rose87168” aseguró haber accedido a dos servidores de inicio de sesión utilizados por clientes de Oracle Cloud Classic -también conocidos como servidores Gen 1- y haber extraído más de 6 millones de registros. Estos datos incluían claves privadas, credenciales cifradas, entradas LDAP e información de identificación de clientes. El atacante incluso publicó una muestra de los datos en un foro de hacking y dejó un archivo de texto en uno de los servidores comprometidos con su dirección de correo electrónico como prueba de acceso.
En un principio, Oracle desestimó por completo las afirmaciones. “No se ha producido ninguna vulneración de Oracle Cloud. Las credenciales publicadas no corresponden a Oracle Cloud. Ningún cliente de Oracle Cloud sufrió una vulneración ni perdió datos”, declaró la empresa a medios especializados. Sin embargo, la evidencia siguió acumulándose.
Varios expertos en ciberseguridad coincidieron al sostener que el ataque probablemente no comprometió Oracle Cloud en su forma actual, sino su versión anterior, Oracle Cloud Classic, pero criticaron que la empresa usara el alcance de nombre para negar que el incidente afectaba a Oracle Cloud, pese a que Oracle sigue gestionando los servicios de Oracle Cloud Classic.
A principios de esta semana el medio norteamericano Bloomberg fue el primero en informar que la compañía comenzó a contactar de forma reservada a sus clientes para informarles sobre el incidente, pero sosteniendo que el robo de información provino de dos servidorps legados usados por última vez en 2017 y que los datos eran antiguos y no confidenciales. No obstante, varios de los datos compartidos por el atacante corresponderían a registros de 2024 y hasta de 2025, lo que contradice la versión oficial.
Investigadores de la firma CybelAngel concluyeron que el atacante habría explotado una vulnerabilidad de Java descubierta en 2020 para acceder a los sistemas a principios de 2025. Durante el ataque, que fue detectado recién a finales de febrero, los ciberdelincuentes extrajeron información de Oracle Identity Manager, incluyendo nombres de usuario, contraseñas en hash y direcciones de correo electrónico.
“Oracle no había corregido una vulnerabilidad crítica (CVE-2021-35587) en Oracle Access Manager, parte de su suite Fusion Middleware, lo que facilitó la intrusión”, indicaron los expertos que analizaron muestras de los datos publicados. Uno de los clientes incluso afirmó que Oracle le notificó que CrowdStrike -firma especializada en ciberseguridad- y el FBI estaban investigando el caso.
Pese a la información entregada por la empresa, el trato al incidente como un asunto vinculado únicamente a “datos antiguos” podría no ser suficiente si se demuestra que se comprometieron credenciales en uso y que Oracle no notificó adecuadamente a los afectados, como exigen las regulaciones internacionales.