**Google confirma explotación activa de la zero-day CVE-2026-35273 en Oracle PeopleSoft por parte de ShinyHunters**
—
### 1. Introducción
La reciente confirmación por parte de Google sobre la explotación activa de la vulnerabilidad CVE-2026-35273 en Oracle PeopleSoft ha puesto en alerta a la comunidad de ciberseguridad. El colectivo ShinyHunters, conocido por ataques dirigidos y filtraciones de datos a gran escala, ha aprovechado este fallo de día cero antes de que Oracle publicase una corrección. Este artículo analiza en profundidad el contexto, los detalles técnicos, el impacto real y las recomendaciones para minimizar el riesgo en entornos empresariales críticos.
—
### 2. Contexto del Incidente o Vulnerabilidad
Oracle PeopleSoft es una suite ampliamente utilizada en grandes organizaciones para la gestión de recursos humanos, finanzas y operaciones empresariales. El pasado mes, Oracle lanzó un parche para la vulnerabilidad catalogada como CVE-2026-35273, tras recibir reportes de la comunidad de investigadores. Sin embargo, hasta la fecha, la compañía no había reconocido públicamente que la vulnerabilidad hubiese sido explotada in-the-wild.
Ha sido Google, a través de su Threat Analysis Group (TAG), la que ha confirmado la explotación activa de este zero-day, atribuyendo los ataques al grupo ShinyHunters. Este colectivo, con un historial de ataques exitosos contra empresas Fortune 500, ha demostrado capacidad para explotar rápidamente vulnerabilidades críticas y monetizar datos robados en foros clandestinos.
—
### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)
La vulnerabilidad CVE-2026-35273 afecta a múltiples versiones de Oracle PeopleSoft, especialmente la rama 9.2 y anteriores, utilizadas en entornos Windows y UNIX. El fallo reside en el componente PeopleTools, permitiendo la ejecución remota de código arbitrario (RCE) sin autenticación previa, mediante el envío de peticiones especialmente manipuladas a través del protocolo HTTP/HTTPS.
**Vectores de ataque y TTP:**
Según las observaciones de Google TAG, los atacantes emplearon técnicas de explotación similares a las catalogadas en MITRE ATT&CK bajo los identificadores T1190 (Exploitation of Public-Facing Application) y T1078 (Valid Accounts), aprovechando la posibilidad de cargar scripts maliciosos y establecer persistencia mediante la manipulación de credenciales.
**Indicadores de compromiso (IoC):**
– Tráfico anómalo en los endpoints `/psp/` y `/psc/` de PeopleSoft.
– Creación de cuentas administrativas no autorizadas.
– Modificación de tareas programadas en el sistema operativo.
– Cargas de payloads a través de frameworks como Metasploit y Cobalt Strike.
Google ha detectado ya exploits funcionales circulando en canales de Telegram y foros de hacking, lo que acrecienta el riesgo de ataques masivos.
—
### 4. Impacto y Riesgos
El impacto potencial de CVE-2026-35273 es crítico. La explotación permite a actores maliciosos tomar el control total de la aplicación PeopleSoft, acceder a información confidencial (datos personales, financieros y de nómina), escalar privilegios y desplegar malware o ransomware en la infraestructura interna.
Se estima que más de un 20% de las empresas del Fortune 1000 utilizan versiones potencialmente vulnerables de PeopleSoft, lo que representa un vector de ataque significativo. Además, el uso extendido de PeopleSoft en sectores regulados (sanidad, banca, administración pública) expone a las organizaciones a posibles sanciones bajo el RGPD y la directiva NIS2 en caso de fuga de datos.
—
### 5. Medidas de Mitigación y Recomendaciones
Oracle ha publicado parches de seguridad críticos para todas las versiones afectadas. Los profesionales de sistemas deben:
– **Aplicar inmediatamente las actualizaciones** proporcionadas por Oracle para PeopleTools y componentes relacionados.
– Revisar los logs de acceso a `/psp/` y `/psc/` en busca de actividad sospechosa.
– Deshabilitar el acceso externo a PeopleSoft cuando no sea indispensable.
– Implementar segmentación de red y autenticación multifactor (MFA) para accesos administrativos.
– Realizar un escaneo de IoC recomendados y monitorizar la actividad de cuentas privilegiadas.
– Considerar el uso de WAFs (firewalls de aplicaciones web) para mitigar intentos de explotación conocidos.
—
### 6. Opinión de Expertos
Analistas de Threat Intelligence coinciden en que la rápida explotación por parte de ShinyHunters evidencia la necesidad de una gestión más proactiva de parches en software empresarial crítico. “El tiempo medio entre la divulgación de una vulnerabilidad y su explotación efectiva se ha reducido drásticamente en los últimos años, especialmente en ERP y aplicaciones legacy”, destaca Javier Santos, CISO de una multinacional tecnológica.
Desde Google TAG advierten que los exploits relacionados con CVE-2026-35273 se están adaptando con facilidad a herramientas automatizadas, lo que facilita su uso incluso por actores con bajo nivel técnico.
—
### 7. Implicaciones para Empresas y Usuarios
Para las empresas, este incidente subraya la importancia de priorizar el parcheo de sistemas ERP y de mantener una higiene de seguridad robusta. La exposición pública de datos sensibles puede acarrear sanciones económicas significativas (hasta el 4% de la facturación anual según RGPD) y daños reputacionales irreversibles.
A nivel de usuarios finales, aunque el vector principal es la infraestructura del backend, la explotación puede derivar en robo de identidad, fraudes internos y denegaciones de servicio, afectando directamente la operativa diaria.
—
### 8. Conclusiones
La confirmación de la explotación activa de la vulnerabilidad CVE-2026-35273 en Oracle PeopleSoft por parte de ShinyHunters marca un nuevo hito en la evolución de las amenazas contra infraestructuras críticas. Las organizaciones deben actuar con celeridad, aplicando parches y revisando sus políticas de seguridad para reducir la superficie de ataque. La colaboración entre fabricantes, equipos SOC y analistas externos es esencial para anticipar y mitigar este tipo de riesgos emergentes.
(Fuente: www.securityweek.com)