ShinyHunters reclama del robo de 297 GB del Consejo de Europa a través de un zero-day en Oracle PeopleSoft

El grupo ShinyHunters afirma haber exfiltrado más de 297 GB y 429,000 archivos del Consejo de Europa en Estrasburgo, explotando el zero-day CVE-2026-35273 en Oracle PeopleSoft. La reclamación apareció en un panel del grupo el 14 de junio y fue reportada por The Register y Computing UK el lunes. El Consejo de Europa, consultado por The Register, declaró que "investiga el asunto y evalúa la situación". La organización no confirmó la brecha públicamente hasta el cierre de este artículo.

El CVE-2026-35273 es una falla de ejecución remota de código en PeopleSoft Enterprise PeopleTools, con una puntuación CVSS de 9.8. No requiere autenticación ni interacción del usuario, solo acceso a la red a través de HTTP. La ventana de explotación ocurrió entre el 27 de mayo y el 9 de junio, según Mandiant, que rastrea al grupo de explotación inicial como UNC6240. Oracle solo publicó un aviso el 10 de junio, lo que mantuvo la falla como un zero-day por más de dos semanas. Este martes (16), el proveedor liberó un parche completo y detalles técnicos adicionales en el boletín trimestral de junio.

La campaña más amplia detrás del ataque

La reclamación contra el Consejo de Europa es la pieza más visible de una campaña que ha alcanzado a más de 100 organizaciones. En una entrevista con The Register, ShinyHunters declaró haber alcanzado 300 instancias de PeopleSoft distribuidas entre esas víctimas. El sesenta y ocho por ciento pertenecía al sector de educación superior, predominantemente en los Estados Unidos. Entre las víctimas confirmadas hasta ahora está la Universidad de Nottingham, en el Reino Unido, que reconoció el robo de 40 GB de datos personales y financieros de estudiantes actuales y antiguos.

La naturaleza de los datos reivindicados en el caso del Consejo de Europa eleva el riesgo. Según el panel del grupo, los archivos incluyen más de 409,000 nóminas de alrededor de 10,000 empleados, registros de recursos humanos, órdenes de compra, currículos, datos bancarios, fiscales y médicos. Si la reclamación se confirma, la filtración alcanza la base de servidores del principal organismo del continente para los derechos humanos, con sede en Estrasburgo y mandato sobre 46 países miembros.

La brecha que abrió la ventana

El análisis de Mandiant señala que el exploit de ShinyHunters depende de un classpath abierto en PeopleTools, que permitió la deserialización de objetos Java arbitrarios. La combinación resultó en RCE con privilegio del usuario de la aplicación, sin necesidad de credenciales. Para los CISOs, el problema es estructural. PeopleSoft sigue siendo el ERP central de nómina, recursos humanos y finanzas en cientos de instituciones públicas y privadas, y cada implementación tiende a estar acoplada a personalizaciones con un ciclo de parches lento. La Oracle Cloud Infrastructure no estaba expuesta, pero la base on-premises y en centros de datos tercerizados sí.

La Agencia de Ciberseguridad e Infraestructura de EE. UU. incluyó el CVE-2026-35273 en el Catálogo de Vulnerabilidades Conocidas Explotadas y fijó en el 29 de junio la fecha límite para que las agencias federales estadounidenses lo remediaran. En la Unión Europea, la ENISA emitió una alerta paralela. Para las empresas brasileñas, la fragilidad es doble: Petrobras, Banco do Brasil y parte del sistema universitario federal operan PeopleSoft, y el ciclo de mantenimiento depende de una ventana de cambio trimestral. Sin una revisión inmediata de la configuración y segmentación de red para el servidor de aplicaciones, el vector sigue abierto incluso después de que se aplique el parche, según una nota técnica de CSO Online.

Lo que el caso cambia en el contrato de riesgo

La presión sobre los proveedores de ERP heredados adquiere una dimensión regulatoria. El Consejo de Europa, si confirma el incidente, deberá notificar a las autoridades nacionales de protección de datos en 46 jurisdicciones. Para el equipo legal de bancos estadounidenses y europeos que utilizan PeopleSoft, el caso reabre cláusulas de ciberseguridad en contratos con Oracle, especialmente aquellas que tratan de la ventana de divulgación de zero-day. La diferencia entre el 27 de mayo, cuando Mandiant identificó la explotación, y el 10 de junio, cuando se publicó el aviso, es exactamente el tipo de brecha que CFOs y CISOs han estado tratando de contabilizar en los últimos dos trimestres.

ShinyHunters opera bajo un modelo de extorsión sin ransomware: roba, amenaza con publicar, negocia. El grupo dio un plazo hasta este martes (16) para que el Consejo de Europa pagara. No hay, hasta ahora, evidencia pública de la publicación de los archivos. Oracle no había comentado la tentativa de extorsión contra el Consejo de Europa hasta el cierre de este artículo.