Un solo descuido técnico puede abrir la puerta a un desastre nacional. El reciente robo masivo de credenciales asociadas a Oracle Cloud lo ha dejado claro: miles de servidores y bases de datos críticos, utilizados por el aparato gubernamental mexicano, podrían estar comprometidos. Entre los dominios afectados destacan los del SAT, la CFE, el Banco del Bienestar, la FGR, Hacienda e Inegi, lo que implica una posible exposición directa de información fiscal, financiera, judicial y operativa a gran escala.
Aunque Oracle ha negado haber sufrido una intrusión, el portal especializado Bleeping Computer reportó que varias muestras filtradas fueron verificadas como auténticas por compañías afectadas, las cuales, bajo anonimato, confirmaron la validez y actualidad de los datos robados. La magnitud del acceso que estas credenciales podrían facilitar (incluyendo millones de documentos pertenecientes a empresas y gobiernos de todo el mundo) ha llevado a considerar este caso como una de las brechas de seguridad más graves en la historia reciente.
Esto no es un incidente aislado ni un simple error técnico; es una llamada de atención sobre lo frágiles que pueden ser las infraestructuras digitales, incluso cuando están respaldadas por grandes corporaciones tecnológicas.
Filtración verificada en sitio de ciberdelincuencia (Foto: Publimetro México)
Más de mil dominios mexicanos en la mira
Un archivo filtrado revela que 1,529 dominios mexicanos están potencialmente comprometidos. En la lista aparecen sitios de todo tipo: instituciones de gobierno, escuelas, bancos y hasta servicios de salud. Muchos de estos sistemas almacenan información sensible, por lo que el riesgo no es menor. Si los atacantes logran usar las credenciales expuestas, podrían acceder a archivos confidenciales, bases de datos completas, reportes fiscales, contratos, correos internos, expedientes judiciales o incluso respaldo de sistemas enteros. Así de grave.
El ataque es real: lo confirman expertos… y las víctimas
Lo que empezó como un rumor ya fue validado por medios especializados y analistas que revisaron las filtraciones. El hacker (bajo el alias @rose87168) asegura que logró vulnerar el servidor login.us2.oraclecloud.com, accediendo a 6 millones de registros, entre ellos archivos JKS (que contienen certificados y llaves criptográficas) y credenciales LDAP, que permiten entrar a sistemas internos.
Aunque Oracle salió a decir que no hubo ninguna brecha, las pruebas publicadas por el propio atacante (como archivos creados dentro del servidor afectado), junto con la confirmación de datos por parte de empresas afectadas, dejan poco espacio para la duda.
Todo apunta a que se explotó una vieja vulnerabilidad, CVE-2021-35587, que afecta a Oracle Access Manager y permite el acceso sin autenticación. Para colmo, el servidor estaba corriendo una versión de Oracle Fusion Middleware tan antigua que no se actualizaba desde 2014. En otras palabras, era una bomba de tiempo.
El atacante también compartió su conversación con el equipo de Oracle
Podría interesarte leer: El Ritmo de los Ciberataques: 1 Cada 14 Segundos, Récord Histórico
También están en juego la educación y las finanzas
El problema no se queda solo en el gobierno. Universidades y bancos también están en riesgo. Entre los dominios filtrados aparecen instituciones educativas de alto perfil como unam.mx, ipn.mx, itesm.mx, udg.mx, cetys.edu.mx, y muchas otras. En varios casos, los accesos comprometidos están ligados a cuentas de estudiantes, profesores y personal administrativo. Esto podría significar la exposición de datos personales, contraseñas institucionales, historiales académicos, correos, documentos oficiales... e incluso expedientes escolares completos.
El peligro no es menor: si alguien reutiliza estas credenciales, podría suplantar identidades o modificar registros académicos, afectando directamente a miles de personas.
Y por si fuera poco, el sector financiero también está en la lista. Se encontraron dominios como santander.com.mx, scotiabank.com.mx, gnp.com.mx, actinver.com.mx, burodecredito.com.mx, bancodelbienestar.gob.mx, nafin.gob.mx y fovissste.gob.mx.
Si los accesos filtrados permiten entrar a sistemas internos, los atacantes podrían poner las manos en información bancaria, movimientos financieros, contratos de crédito, reportes fiscales, e incluso datos biométricos o firmas electrónicas. El nivel de exposición es altísimo, y el impacto potencial, muy serio.
