La magnitud del ataque, según lo comunicado por ShinyHunters a medios especializados como BleepingComputer, es considerable. El grupo afirma haber comprometido aproximadamente 300 instancias de PeopleSoft distribuidas en más de 100 organizaciones. La Universidad de Nottingham ya ha sido confirmada como una de las víctimas, y sus datos han sido publicados en el sitio de filtraciones de ShinyHunters, sirviendo como una prueba tangible de la intrusión. Este hecho resalta la seriedad de la reclamación y el impacto directo que estos ataques pueden tener en las entidades afectadas. La banda ha estado activa desde 2019 y es bien conocida por su historial de exfiltración de datos a gran escala y extorsión. Entre 2025 y 2026, ShinyHunters estuvo involucrado en campañas que resultaron en el robo de más de 1.5 mil millones de registros de más de 1,000 organizaciones, lo que demuestra su capacidad y persistencia en el panorama del cibercrimen.
Análisis de la tendencia
El ataque a los sistemas Oracle PeopleSoft representa una tendencia preocupante en la estrategia de los ciberdelincuentes. PeopleSoft, como suite de software empresarial, es utilizada por grandes organizaciones para gestionar operaciones críticas como recursos humanos, nóminas, finanzas y administración de estudiantes. Al atacar estos sistemas, ShinyHunters no solo busca datos sensibles, sino que también apunta a la columna vertebral operativa de las organizaciones. El grupo afirma haber utilizado una "cadena de gadgets" de vulnerabilidades, que incluye tanto fallas antiguas como algunas de día cero. Esta combinación sugiere una aproximación sofisticada que explota debilidades conocidas y, potencialmente, desconocidas, dependiendo de la configuración de cada instancia del sistema. Investigadores de ciberseguridad, como "Michael R", han encontrado evidencia de herramientas relacionadas con estos ataques en directorios en línea expuestos, incluyendo agentes de MeshCentral y scripts de pulverización de credenciales. Esto indica el uso de métodos ya probados y sugiere que las organizaciones con configuraciones menos seguras o parches desactualizados son blancos fáciles. Los expertos han señalado que ShinyHunters a menudo explota lo que se conoce como "fruta al alcance de la mano", es decir, vulnerabilidades existentes que no han sido debidamente mitigadas. La falta de una declaración pública por parte de Oracle sobre estos ataques o la confirmación de la explotación de vulnerabilidades de día cero añade una capa de incertidumbre, dejando a muchas organizaciones en un estado de mayor vulnerabilidad y esperando orientación oficial.
Contexto regional
La sombra de ShinyHunters no es ajena a la región latinoamericana, lo que confiere una particular relevancia a este último incidente. En mayo de 2026, el grupo fue responsable de un ciberataque exitoso contra Adelante Soluciones Financieras (Addi.com), un proveedor de servicios financieros en Colombia, comprometiendo más de 16 millones de registros que incluían información personal y financiera sensible de clientes. Este antecedente establece un patrón de actividad de ShinyHunters en la región y subraya la vulnerabilidad de las empresas latinoamericanas a sus ataques. De hecho, durante el cuarto trimestre de 2025, ShinyHunters fue uno de los grupos de ransomware más activos en América Latina, que emergió como la región más afectada por ataques de ransomware en 2025, con más del 8.13% de las organizaciones experimentando incidentes relacionados. Esta estadística resalta la exposición y el riesgo latente para las infraestructuras tecnológicas locales.
Oracle cuenta con una sólida presencia en Latinoamérica, con iniciativas de desarrollo de habilidades y una expansión constante de sus servicios en la nube (OCI), sumando nuevos contratos en diversos sectores. Si bien no se han identificado públicamente clientes de PeopleSoft directamente afectados en Latinoamérica en este incidente específico, la alta adopción de los productos Oracle en la región implica que muchas organizaciones utilizan, o son socias de quienes utilizan, sistemas como PeopleSoft. Empresas como Gideon Taylor y Kovaion Consulting, socios de Oracle PeopleSoft, tienen presencia o clientes en Latinoamérica, lo que sugiere una base instalada significativa de estos sistemas en la región.
En cuanto a la regulación, la mayoría de los países de América Latina cuentan con leyes de protección de datos personales. Sin embargo, las normativas sobre la notificación de incidentes de seguridad varían considerablemente. Países como Brasil, Ecuador, Panamá y Uruguay requieren la notificación a los interesados si el incidente representa un riesgo significativo de daño. Por otro lado, México está trabajando para introducir sanciones económicas y penales más estrictas por la falta de notificación de brechas de datos personales, mostrando una tendencia hacia una mayor rigurosidad. Contrastantemente, otros países como Paraguay, Venezuela, Bolivia, Chile y Guatemala aún no tienen una obligación general de informar incidentes a los interesados, creando un panorama regulatorio fragmentado que puede dificultar una respuesta uniforme y eficaz ante este tipo de brechas transfronterizas.
Perspectiva a futuro
La supuesta brecha de ShinyHunters en Oracle PeopleSoft augura un futuro donde los sistemas ERP seguirán siendo objetivos atractivos para los ciberdelincuentes, dada la riqueza y criticidad de los datos que manejan. Para las organizaciones que utilizan PeopleSoft o cualquier otro sistema ERP, la vigilancia proactiva y la implementación de las mejores prácticas de ciberseguridad son más cruciales que nunca. Esto incluye la aplicación inmediata de parches de seguridad, incluso para vulnerabilidades "antiguas", la implementación de autenticación multifactor (MFA) en todos los niveles, y un monitoreo riguroso de los registros del sistema en busca de cualquier actividad sospechosa. Desarrollar y mantener un plan de respuesta a incidentes robusto es imperativo, permitiendo a las organizaciones actuar con rapidez y eficacia si detectan una intrusión. La inacción de Oracle en la comunicación pública de este incidente pone de manifiesto la necesidad de una mayor transparencia por parte de los proveedores de software cuando sus productos son objeto de ataques, ya que la información oportuna es vital para la defensa de sus clientes. Finalmente, se espera que la presión regulatoria en Latinoamérica continúe evolucionando, con países buscando fortalecer sus marcos legales para imponer mayores responsabilidades en la protección de datos y la notificación de brechas, lo que podría influir en cómo las empresas gestionan y reportan futuros incidentes de este tipo.
