Dependencias del gobierno mexicano en riesgo por vulnerabilidad en Oracle

La organización cibercriminal Cl0p, conocida por sus ataques de ransomware altamente dirigidos y su capacidad para explotar vulnerabilidades de día cero, ha vuelto al centro de atención tras confirmarse la explotación activa de una falla crítica en Oracle E-Business Suite (EBS). La campaña, detectada a comienzos de agosto de 2025, ha permitido el robo de información corporativa confidencial de múltiples organizaciones que no habían aplicado las actualizaciones de seguridad más recientes del fabricante.

La vulnerabilidad, catalogada como CVE-2025-61882, afecta al componente BI Publisher Integration del módulo Concurrent Processing de EBS. Este fallo permite que atacantes no autenticados ejecuten código remoto (RCE) en servidores expuestos, sin necesidad de interacción del usuario. Su baja complejidad técnica la convierte en una amenaza crítica, ya que basta una sola solicitud HTTP para tomar control de un sistema comprometido.

La CVE-2025-61882 no es un incidente aislado, sino parte de una cadena de vulnerabilidades interconectadas que amplifican las posibilidades de explotación masiva, abriendo la puerta a campañas globales de robo y exfiltración de datos.

Los primeros indicios de actividad maliciosa se remontan al 9 de agosto de 2025, cuando Cl0p comenzó a aprovechar la falla antes de que Oracle tuviera conocimiento del problema, operando así con ventaja como día cero. En este sentido, se han identificado múltiples intrusiones exitosas en servidores EBS, acompañadas de la sustracción de documentos sensibles. Aunque la evidencia apunta principalmente a Cl0p, no se descarta la participación de otros grupos de atacantes.

El 3 de octubre de 2025, tras la publicación del código de prueba de concepto (PoC) y el parche oficial de Oracle, el riesgo aumentó exponencialmente, ya que se espera una ola de intentos de explotación por parte de distintos atacantes. Cualquier instancia de EBS conectada a internet y sin actualizar representa una amenaza inmediata.

De forma paralela, Cl0p ha reforzado sus tácticas de extorsión, enviando correos electrónicos directamente a ejecutivos de empresas afectadas. En ellos, el grupo asegura poseer información robada y amenaza con divulgarla en la dark web si no se paga un rescate en criptomonedas.

Ante la gravedad del escenario, Oracle emitió una advertencia urgente instando a los administradores a instalar las actualizaciones críticas de inmediato y a mantener los sistemas en versiones con soporte activo para reducir la exposición.

El historial de Cl0p muestra un patrón claro de ataques masivos mediante vulnerabilidades de día cero. En enero de 2025, comprometió a numerosas organizaciones explotando la falla CVE-2024-50623 en Cleo Integration Cloud, una plataforma usada para transferencias seguras de archivos. También ha sido responsable de los ciberataques contra Accellion FTA, GoAnywhere MFT y MOVEit Transfer, este último considerado uno de los mayores incidentes de robo de datos registrados, con más de 2.770 organizaciones afectadas en todo el mundo.

Gracias a estas operaciones, Cl0p ha construido una red internacional de extorsión y venta de información, consolidándose como uno de los grupos de ransomware más rentables y persistentes. Su alcance ha sido tal que el Departamento de Estado de Estados Unidos ofrece una recompensa de 10 millones de dólares por información que permita identificar o desmantelar a sus integrantes.

Aunque no se han reportado ataques directos contra dependencias gubernamentales mexicanas, varias instituciones públicas podrían estar en riesgo debido al uso de estos sistemas. Entre ellas figuran el Servicio de Administración Tributaria (SAT) –incluyendo su portal de trámites, el Registro Fiscal Simplificado y la plataforma de Prevención de Lavado de Dinero–; el Tribunal Federal de Justicia Administrativa (TFJA); el Registro Único de Certificados, Almacenes y Mercancías (RUCAM) de la Secretaría de Economía; y sistemas del Instituto Mexicano del Seguro Social (IMSS) como el Sistema de Afiliación de Trabajadores de la Industria de la Construcción y el Escritorio Virtual del IMSS.

En el caso de México, Cl0p ha ejecutado ataques recientes contra varias empresas en el marco de su campaña global de 2025. Entre las víctimas confirmadas se encuentran Home Depot México, Vida Group, Interfactura, IUSA (Industrias Unidas S.A. de C.V.) e Innovador México (Productos Innovador). Estos ataques siguen el esquema de “extorsión cuádruple” característico del grupo, que combina robo de datos, cifrado parcial de sistemas, amenazas de filtración y subastas de la información en caso de no efectuarse el pago del rescate.

La mayoría de las víctimas mexicanas se inscriben en campañas globales de explotación de vulnerabilidades de día cero en herramientas de transferencia de archivos, afectando sectores estratégicos como retail, tecnologías de la información, servicios fiscales, manufactura y bienes de consumo.  

Frente a este panorama, la unidad de investigación de SILIKN exhorta a las organizaciones a tomar medidas inmediatas, priorizando la actualización de Oracle E-Business Suite, la revisión de servidores expuestos a internet, el monitoreo de registros de actividad sospechosa y la implementación de configuraciones seguras que reduzcan la superficie de ataque.

Víctor Ruiz es fundador de SILIKN y es instructor certificado en Ciberseguridad (CSCT). Además, cuenta con las siguientes credenciales y certificados: (ISC)² Certified in Cybersecurity (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y Cisco Cybersecurity Analyst. Es líder del Capítulo Querétaro de la Fundación OWASP.