Oracle bajo fuego tras su controvertida respuesta a un reciente ataque informático
Oracle se enfrenta a una creciente reacción de la comunidad de ciberseguridad tras su gestión de un reciente incidente de piratería informática que expuso información de usuarios de servidores obsoletos. Si bien el gigante tecnológico ha comenzado a enviar notificaciones por escrito a los clientes afectados, los críticos argumentan que la respuesta tardía y confusa de la compañía solo ha empeorado la situación.
Table of Contents
De la negación al control de daños
La controversia comenzó el 20 de marzo de 2025, cuando un hacker apareció en un conocido foro de ciberdelincuencia, afirmando haber vulnerado los servidores de Oracle Cloud. El atacante ofreció millones de registros a la venta, supuestamente vinculados a más de 140.000 inquilinos de Oracle, que incluían credenciales de inicio de sesión cifradas o con hash.
Oracle respondió rápidamente, negando rotundamente que los sistemas de Oracle Cloud hubieran sido comprometidos. Sin embargo, a medida que el hacker comenzó a filtrar muestras de los datos robados —que posteriormente investigadores de ciberseguridad consideraron probablemente auténticos—, los clientes de Oracle comenzaron a confirmar que sus datos formaban parte de la filtración. Esto contradice las declaraciones originales de Oracle y planteó serias dudas sobre la transparencia de su comunicación.
Tras estas revelaciones, Oracle pasó de las negaciones públicas a las revelaciones privadas. Según informes, contactó verbalmente a sus clientes para admitir que, si bien se accedió a algunos sistemas, la brecha no afectó a Oracle Cloud Infrastructure (OCI). No fue hasta el 7 de abril, más de dos semanas después de que se hiciera pública la brecha, que Oracle comenzó a emitir notificaciones formales por escrito.
Datos filtrados vinculados a servidores heredados
En sus comunicaciones escritas, Oracle insistió en que no se había penetrado ningún entorno de cliente de OCI y afirmó que no se habían comprometido los datos ni los servicios de ningún cliente. En cambio, la compañía reveló que el atacante accedió a nombres de usuario de dos servidores antiguos que ya no se utilizan y que no forman parte de OCI.
Según Oracle, las contraseñas asociadas a esos nombres de usuario estaban cifradas o encriptadas, lo que las hacía inutilizables. El hacker confirmó que no pudo descifrar las credenciales cifradas.
A pesar de estas garantías, los expertos en ciberseguridad se muestran escépticos. El analista de seguridad Max Solonski criticó a Oracle por minimizar la situación, señalando que los nombres de usuario pueden considerarse datos de clientes y, aun así, representar un riesgo. También señaló que las contraseñas cifradas, si bien son más seguras, podrían descifrarse con el tiempo si se hace el esfuerzo suficiente.
El investigador de seguridad Kevin Beaumont se sumó a las críticas, calificando la notificación oficial de Oracle como "una respuesta excepcionalmente deficiente para una empresa que gestiona datos extremadamente sensibles". Sospecha que los sistemas vulnerados formaban parte de la infraestructura heredada de Oracle, conocida como servidores Oracle Classic o Gen1, lo que podría haber permitido a la empresa negar técnicamente una vulneración de OCI a pesar de estar comprometida.
Preguntas persistentes y escrutinio creciente
Aunque Oracle sostiene que los datos robados eran antiguos, algunos informes sugieren que la información podría ser tan reciente como 2024 o incluso 2025, lo que coincide con las afirmaciones del hacker. Esta discrepancia alimenta aún más las dudas sobre la exhaustividad de las revelaciones de Oracle y el verdadero alcance de la filtración.
También quedan preguntas sin respuesta sobre cómo se produjo la filtración. Las primeras investigaciones apuntan a la explotación de una vulnerabilidad obsoleta, lo que genera inquietud sobre la gestión de parches de Oracle y la seguridad de sus sistemas heredados.
Mientras clientes y expertos del sector esperan más detalles, la respuesta de Oracle sigue generando fuertes críticas. El incidente pone de relieve la importancia de una comunicación oportuna y transparente durante las crisis de ciberseguridad, especialmente para las empresas a las que se les confía un gran volumen de datos confidenciales.
