Getty Images

Dependencias del gobierno mexicano en riesgo por vulnerabilidad en Oracle

SILIKN advirtió que existe un enorme riesgo de ciberataques de ransomware hacia portales de organismos públicos mexicanos como el SAT, el Tribunal Federal de Justicia Administrativa, la Secretaría de Economía y el IMSS.

La organización cibercriminal Cl0p, conocida por sus ataques de ransomware altamente dirigidos y su capacidad para explotar vulnerabilidades de día cero, ha vuelto al centro de atención tras confirmarse la explotación activa de una falla crítica en Oracle E-Business Suite (EBS). La campaña, detectada a comienzos de agosto de 2025, ha permitido el robo de información corporativa confidencial de múltiples organizaciones que no habían aplicado las actualizaciones de seguridad más recientes del fabricante.

La vulnerabilidad, catalogada como CVE-2025-61882, afecta al componente BI Publisher Integration del módulo Concurrent Processing de EBS. Este fallo permite que atacantes no autenticados ejecuten código remoto (RCE) en servidores expuestos, sin necesidad de interacción del usuario. Su baja complejidad técnica la convierte en una amenaza crítica, ya que basta una sola solicitud HTTP para tomar control de un sistema comprometido.

La CVE-2025-61882 no es un incidente aislado, sino parte de una cadena de vulnerabilidades interconectadas que amplifican las posibilidades de explotación masiva, abriendo la puerta a campañas globales de robo y exfiltración de datos.

Los primeros indicios de actividad maliciosa se remontan al 9 de agosto de 2025, cuando Cl0p comenzó a aprovechar la falla antes de que Oracle tuviera conocimiento del problema, operando así con ventaja como día cero. En este sentido, se han identificado múltiples intrusiones exitosas en servidores EBS, acompañadas de la sustracción de documentos sensibles. Aunque la evidencia apunta principalmente a Cl0p, no se descarta la participación de otros grupos de atacantes.

El 3 de octubre de 2025, tras la publicación del código de prueba de concepto (PoC) y el parche oficial de Oracle, el riesgo aumentó exponencialmente, ya que se espera una ola de intentos de explotación por parte de distintos atacantes. Cualquier instancia de EBS conectada a internet y sin actualizar representa una amenaza inmediata.

De forma paralela, Cl0p ha reforzado sus tácticas de extorsión, enviando correos electrónicos directamente a ejecutivos de empresas afectadas. En ellos, el grupo asegura poseer información robada y amenaza con divulgarla en la dark web si no se paga un rescate en criptomonedas.

Ante la gravedad del escenario, Oracle emitió una advertencia urgente instando a los administradores a instalar las actualizaciones críticas de inmediato y a mantener los sistemas en versiones con soporte activo para reducir la exposición.

El historial de Cl0p muestra un patrón claro de ataques masivos mediante vulnerabilidades de día cero. En enero de 2025, comprometió a numerosas organizaciones explotando la falla CVE-2024-50623 en Cleo Integration Cloud, una plataforma usada para transferencias seguras de archivos. También ha sido responsable de los ciberataques contra Accellion FTA, GoAnywhere MFT y MOVEit Transfer, este último considerado uno de los mayores incidentes de robo de datos registrados, con más de 2.770 organizaciones afectadas en todo el mundo.

Gracias a estas operaciones, Cl0p ha construido una red internacional de extorsión y venta de información, consolidándose como uno de los grupos de ransomware más rentables y persistentes. Su alcance ha sido tal que el Departamento de Estado de Estados Unidos ofrece una recompensa de 10 millones de dólares por información que permita identificar o desmantelar a sus integrantes.

Aunque no se han reportado ataques directos contra dependencias gubernamentales mexicanas, varias instituciones públicas podrían estar en riesgo debido al uso de estos sistemas. Entre ellas figuran el Servicio de Administración Tributaria (SAT) –incluyendo su portal de trámites, el Registro Fiscal Simplificado y la plataforma de Prevención de Lavado de Dinero–; el Tribunal Federal de Justicia Administrativa (TFJA); el Registro Único de Certificados, Almacenes y Mercancías (RUCAM) de la Secretaría de Economía; y sistemas del Instituto Mexicano del Seguro Social (IMSS) como el Sistema de Afiliación de Trabajadores de la Industria de la Construcción y el Escritorio Virtual del IMSS.

En el caso de México, Cl0p ha ejecutado ataques recientes contra varias empresas en el marco de su campaña global de 2025. Entre las víctimas confirmadas se encuentran Home Depot México, Vida Group, Interfactura, IUSA (Industrias Unidas S.A. de C.V.) e Innovador México (Productos Innovador). Estos ataques siguen el esquema de “extorsión cuádruple” característico del grupo, que combina robo de datos, cifrado parcial de sistemas, amenazas de filtración y subastas de la información en caso de no efectuarse el pago del rescate.

La mayoría de las víctimas mexicanas se inscriben en campañas globales de explotación de vulnerabilidades de día cero en herramientas de transferencia de archivos, afectando sectores estratégicos como retail, tecnologías de la información, servicios fiscales, manufactura y bienes de consumo.  

Frente a este panorama, la unidad de investigación de SILIKN exhorta a las organizaciones a tomar medidas inmediatas, priorizando la actualización de Oracle E-Business Suite, la revisión de servidores expuestos a internet, el monitoreo de registros de actividad sospechosa y la implementación de configuraciones seguras que reduzcan la superficie de ataque.

Víctor Ruiz es fundador de SILIKN y es instructor certificado en Ciberseguridad (CSCT). Además, cuenta con las siguientes credenciales y certificados: (ISC)² Certified in Cybersecurity (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y Cisco Cybersecurity Analyst. Es líder del Capítulo Querétaro de la Fundación OWASP.

Conagua enfrenta ataques persistentes

SILIKN también informó que los sistemas de agua y de aguas residuales en México se han convertido en objetivos prioritarios de ciberataques, muchos de ellos respaldados por actores estatales. Incidentes recientes en Noruega, Polonia y Estados Unidos pusieron en evidencia la fragilidad de estas infraestructuras críticas, con señalamientos directos hacia atacantes rusos en Europa, lo que refleja el creciente peso de los factores geopolíticos en las operaciones cibernéticas y subraya la urgencia de fortalecer la protección digital en el sector hídrico.

En Noruega, se responsabilizó a hackers rusos por un ataque en abril que logró abrir una compuerta de una represa hidroeléctrica, liberando 500 litros de agua por segundo durante cuatro horas. El ataque buscaba exhibir capacidad y sembrar temor. En Polonia, otro ataque atribuido a Rusia puso en riesgo el suministro de agua de una gran ciudad, confirmando que la infraestructura esencial se ha convertido en un terreno de confrontación geopolítica. En Estados Unidos, el 19% de las empresas de agua reportaron incidentes de ciberseguridad en el primer trimestre de 2025, entre ellos un caso en Massachusetts en el que un grupo chino mantuvo acceso a la red durante más de 300 días, aprovechándose de sistemas obsoletos y presupuestos limitados.

En México, los sistemas administrados por la Comisión Nacional del Agua (Conagua) han sido blanco de ciberataques que revelan la fragilidad de su infraestructura crítica. En junio de 2023, se registró un ataque significativo que pudo comprometer el control de compuertas de presas con capacidad de hasta 13 mil millones de metros cúbicos de agua, y que evidenció la dependencia de tecnologías obsoletas y la carencia de medidas preventivas sólidas para resguardar estos sistemas estratégicos.

Meses antes, en abril de 2023, Conagua enfrentó un ataque de ransomware atribuido a la variante BlackByte, que afectó múltiples delegaciones y subdirecciones, cifrando archivos acumulados durante los últimos 15 años y afectando equipos de cómputo en todo el país. El ataque, con capacidad de movimiento lateral, logró ser contenido por la intervención del personal técnico de la institución, con apoyo de la Guardia Nacional y la empresa Scitum.

En julio de 2025, SILIKN identificó una campaña avanzada encabezada por el grupo Prophet Spider, que explotaba fallas en aplicaciones ASP.NET y utilizaba claves de máquina filtradas para ejecutar cargas maliciosas mediante la técnica de deserialización del estado de vista. Entre las organizaciones afectadas estuvieron la Comisión Federal de Electricidad (CFE) y Conagua.

Investigue más sobre Gestión de la seguridad