Un ciberdelincuente con el nombre de @rose87168 asegura haber robado las credenciales de más de 6 millones de usuarios almacenadas en la nube de Oracle. De confirmarse, sería una de las brechas más grandes de la historia de la informática.
En un post de X, el hacker aportó una serie de datos sobre la supuesta violación de los sistemas de Oracle, y una lista que incluye más de 140,000 dominios relacionados con empresas y organismos públicos. Concretamente, la violación habría afectado al subdominio que gestiona el acceso a los servicios en la nube de la compañía en toda una región.
Según los mensajes publicados en la red, el ciberdelincuente tiene 6 millones de registros, incluidos JKS, archivos que contienen certificados de seguridad y claves criptográficas de acceso a los servicios. Sin embargo, @rose87168 no tiene forma de descifrarlos y refiere que quien le ayude «será recompensado con parte de los datos».
Poca información, pero preocupante
Oracle niega haber sufrido un ataque. «No se ha producido ninguna brecha en Oracle Cloud (OCI). Las credenciales publicadas no pertenecen a OCI. Ningún cliente ha sufrido una brecha ni ha perdido datos», reza su comunicado oficial. No obstante, la afirmación no es convincente, pues las pruebas del ataque se acumulan.
La información más relevante al respecto procede de Bleeping Computer, un sitio especializado en ciberseguridad que se puso en contacto con el autor del post y pudo ver algunos datos que parecen confirmar la intrusión. Para demostrar la veracidad de sus afirmaciones, @rose87168 subió su dirección de correo electrónico al servidor, demostrando que tenía acceso a los sistemas que dice haber comprometido.
Los periodistas de Bleeping Computer también recibieron algunas credenciales robadas y se pusieron en contacto con las organizaciones implicadas, garantizándoles el anonimato y recibiendo confirmación de la autenticidad de los datos. Por último, el hacker compartió con el medio un intercambio de correos electrónicos con una cuenta de Proton Mail, un servicio suizo de correo electrónico protegido por cifrado, que supuestamente utiliza uno de los responsables de seguridad de Oracle para tratar con él.
Tráfico de drogas, estafas en línea, venta de drogas y lavado de dinero. Un informe reciente de la agencia policíaca revela cómo la inteligencia artificial favorece el aumento de estos delitos en países de la Unión Europea.
¿El problema podría extenderse a otros países?
Todavía estamos en el terreno de las hipótesis, pero la probabilidad de que el ataque tenga repercusiones en múltiples países es bastante baja. El ataque afecta al servidor login.us2.oraclecloud.com, es decir, solo tendría implicaciones en Estados Unidos.
Por otro lado, las primeras reconstrucciones del ataque no sugieren un problema estructural con los servicios de Oracle ni una nueva vulnerabilidad. De acuerdo con la empresa de ciberseguridad CloudSEK, pudo deberse a una brecha de seguridad (CVE-2021-35587) conocida desde diciembre de 2022 en los sistemas de autenticación Oracle Access Manager.
Los investigadores de CloudSEK utilizaron Wayback Machine, una herramienta de acceso a versiones antiguas de páginas web, para analizar la versión de software instalada en el servidor y descubrieron que, al menos hasta el 17 de febrero, se utilizaba una versión antigua de Oracle Fusion Middleware (11g) y que el software no había sido actualizado desde septiembre de 2014. Por tanto, teorizan que el ataque ocurrió por un «ligero descuido» y es bastante difícil que otras regiones tengan la misma vulnerabilidad.
Kim Jong Un creó un centro de investigación para desarrollar nuevas técnicas de IA para robar datos de países occidentales.
¿Quién es @rose87168?
La cuenta apareció en enero en el foro, y no hay constancia de que haya participado en otras acciones de este tipo. Todo indica que no es miembro de una banda especializada en el robo de datos. Normalmente, los grupos que se dedican a la extorsión utilizan los «sitios representativos» en la dark web para publicar reclamaciones de ataques.
El hecho de que «pidiera ayuda» para descifrar las contraseñas, ofreciendo parte de los datos como recompensa, sugiere que se trata de un individuo aislado sin herramientas particulares a su disposición para seguir el primer ataque. Por último, la vulnerabilidad es descrita por los expertos como un fallo que permite el control total del sistema de acceso y se califica de «muy fácil de explotar». Es probable que @rose87168 simplemente descubriera la presencia del software vulnerable y aprovechara la oportunidad.
Artículo originalmente publicado en WIRED Italia. Adaptado por Alondra Flores.
DERECHOS DE AUTOR
Esta información pertenece a su autor original y fue recopilada del sitio https://es.wired.com/articulos/que-sabemos-del-supuesto-ataque-a-la-nube-de-oracle
