El prestigioso diario estadounidense notificó a casi 10 mil empleados y contratistas que su información personal y bancaria fue comprometida entre julio y agosto, en una campaña atribuida al grupo Cl0p que afectó a decenas de organizaciones en todo el mundo.
The Washington Post confirmó que cerca de 10 mil empleados y contratistas vieron expuestos sus datos personales y financieros tras un ataque dirigido a su instancia de Oracle E-Business Suite (EBS), una plataforma crítica utilizada para funciones internas de recursos humanos, finanzas y cadena de suministro. La intrusión, que abarcó desde el 10 de julio hasta el 22 de agosto de 2025, ocurrió mediante la explotación de una vulnerabilidad entonces desconocida, hoy identificada como CVE-2025-61884.
La compañía, que cuenta con aproximadamente 2,5 millones de suscriptores digitales, informó que el pasado 29 de septiembre fue contactada por un actor de amenazas que aseguró haber accedido a su entorno Oracle. “En respuesta, el Post lanzó una investigación exhaustiva con la asistencia de expertos”, se lee en la carta enviada a los afectados. Durante ese proceso, Oracle reveló públicamente la existencia de una falla “previamente desconocida y generalizada” en E-Business Suite que estaba siendo explotada contra múltiples clientes.
El análisis forense determinó posteriormente que los intrusos copiaron datos pertenecientes a 9.720 empleados actuales y antiguos, además de contratistas, información que incluye nombres completos, números de cuentas bancarias y sus rutas asociadas, números de Seguro Social (SSN) y números de identificación tributaria. “El Post confirmó el 27 de octubre que ciertos datos personales fueron afectados”, señala la notificación presentada ante la Oficina del Fiscal General de Maine.
A mediados de octubre, el grupo Cl0p sumó al medio estadounidense a su sitio de filtraciones en Tor, acusando públicamente a la organización de “negligencia” y afirmando haber robado alrededor de 180 GB de archivos. La banda criminal intentó extorsionar al periódico a fines de septiembre, en paralelo a intentos similares contra otras compañías presuntamente vulneradas mediante el mismo vector.
Investigadores de seguridad han vinculado esta campaña a un clúster operativo asociado a FIN11, un actor históricamente relacionado con ataques masivos mediante vulnerabilidades zero-day.
De acuerdo con reportes de la industria, más de 40 organizaciones han sido listadas en el portal de Cl0p por negarse a pagar un rescate. Entre los afectados confirmados figuran Harvard University, Envoy Air (filial de American Airlines) y GlobalLogic, subsidiaria de Hitachi.
Para reducir el impacto en los afectados, The Washington Post ofreció 12 meses de monitoreo de identidad sin costo, a través de IDX, junto con recomendaciones para establecer congelamiento de crédito y alertas por fraude. La empresa también indicó que continúa cooperando con expertos externos para reforzar sus controles y evaluar cualquier afectación adicional.
El ataque se produce pocos meses después de que el periódico informara que varias cuentas de correo electrónico de sus periodistas fueron comprometidas por actores estatales, aunque hasta ahora no existe evidencia de un vínculo entre ambos incidentes.