El nuevo golpe de ShinyHunters: cómo un fallo en Oracle PeopleSoft puso en jaque los datos de miles de estudiantes

Para lograr su objetivo, los atacantes emplearon una técnica conocida como "cadena de gadgets", que no es más que una combinación de vulnerabilidades antiguas, ya conocidas, con otras de día cero recién descubiertas, todo ello dentro del ecosistema de PeopleSoft . En su comunicación con BleepingComputer, los ciberdelincuentes explicaron que el ataque no es uniforme: su éxito depende de cómo cada organización afectada haya configurado su instalación de PeopleSoft .

Como es habitual en ShinyHunters, el modelo de extorsión es simple y despiadado: si la víctima se niega a pagar el rescate exigido, los datos robados se publican en su sitio de filtraciones para que cualquiera pueda consultarlos .

Las universidades, en el punto de mira

Aunque ninguna organización está a salvo, el sector educativo ha sido, con diferencia, el más castigado. Esta fijación por las instituciones de enseñanza no es nueva: ShinyHunters ya demostró su interés en este ámbito a principios de 2026 con los sonados ataques a las plataformas educativas Canvas e Instructure, y con la explotación masiva de Salesforce Experience Cloud .

La Universidad de Nottingham confirmó que sufrió la brecha. Los atacantes se infiltraron en el sistema de registros de estudiantes Campus Solutions —que funciona con Oracle PeopleSoft— a finales de mayo de 2026 . Una muestra de los datos robados, publicada por ShinyHunters en su web, contenía información sobre estudiantes, solicitantes de plaza, ayuda financiera, inmigración, historiales de salud y registros administrativos . El grupo afirma haber robado más de 40 GB de información sensible, incluyendo registros de facturación, datos de tarjetas de crédito, información financiera de los alumnos y exportaciones del portal del campus que abarcan no solo la sede de Nottingham en Reino Unido, sino también sus campus en Malasia y China .

De la llamada telefónica al exploit: un cambio de táctica sin precedentes

La campaña contra PeopleSoft marca un punto de inflexión táctico para ShinyHunters. Durante la mayor parte de 2025 y principios de 2026, el grupo confiaba casi exclusivamente en el abuso de identidad y acceso: suplantación de identidad por teléfono (vishing), ingeniería social, toma de control de cuentas de inicio de sesión único (SSO) en plataformas como Okta y uso indebido de tokens OAuth para colarse en las organizaciones . Informes de Mandiant y del Google Threat Intelligence Group detallaban cómo los miembros de ShinyHunters se hacían pasar por el soporte técnico, enviaban a empleados a sitios de phishing con la imagen corporativa de su empresa y robaban credenciales de SSO y códigos de autenticación multifactor (MFA) .

De hecho, un informe de inteligencia de amenazas de The Crosswalk era tajante al afirmar que ShinyHunters "casi nunca explota vulnerabilidades de software", y que su foco estaba en manipular los procesos de verificación de los servicios de asistencia, el MFA de los empleados y los tokens OAuth de aplicaciones SaaS de terceros . El ataque a PeopleSoft rompe por completo ese molde, recurriendo a auténticos exploits de software —incluidos fallos de día cero— algo nunca visto en sus operaciones anteriores .

El silencio de Oracle y las autoridades británicas

Hasta el 10 de junio de 2026, Oracle no había emitido ningún comunicado público ni boletín de seguridad que abordase específicamente esta campaña contra PeopleSoft. Tampoco se ha anunciado o confirmado ningún parche de seguridad vinculado a esta actividad .

En Reino Unido, ni la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) ni las fuerzas de seguridad han hecho comentarios públicos sobre el incidente. La Universidad de Nottingham ha gestionado la respuesta de forma interna, informando directamente a sus estudiantes y dejando temporalmente fuera de línea los sistemas afectados para investigar lo sucedido .

Indicadores de Compromiso (IoCs): ¿Qué hay disponible?

Por el momento, la comunidad de seguridad no ha publicado de forma generalizada indicadores de compromiso (IoCs) específicos para esta campaña de PeopleSoft, como direcciones IP o hashes de archivos. Huntress publicó un perfil de actor de amenaza con indicadores de red asociados a la infraestructura de ShinyHunters, pero estos están relacionados con campañas centradas en aplicaciones SaaS, no específicamente con la explotación de PeopleSoft .

El informe de The Crosswalk subraya una dificultad añadida: las tácticas habituales de ShinyHunters —basadas en el abuso de identidad— rara vez generan IoCs ligados a una vulnerabilidad de software específica, lo que dificulta la caza de esta campaña en los sistemas de defensa .

La escalada sin frenos de ShinyHunters en 2026

La campaña contra PeopleSoft encaja en un brutal patrón de escalada a lo largo de todo el año:

• Inicios de 2026: La campaña AuraInspector explotó configuraciones incorrectas en Salesforce Experience Cloud. ShinyHunters afirmó haber afectado a cerca de 400 organizaciones .
• Febrero de 2026: La brecha de Wynn Resorts expuso más de 800.000 registros de empleados, con un acceso inicial también vinculado a una vulnerabilidad en Oracle PeopleSoft .
• Abril–Mayo de 2026: La brecha del sistema de gestión de aprendizaje Canvas/Instructure fue el mayor robo de datos del sector educativo jamás visto. ShinyHunters afirmó haber robado 275 millones de registros de aproximadamente 8.000–9.000 instituciones .
• Mayo–Junio de 2026: La brecha de Charter Communications expuso 4,9 millones de registros de clientes .
• Junio de 2026: La campaña de Oracle PeopleSoft sumó otras 100+ organizaciones y más de 300 instancias a su lista de víctimas .

Este cambio no es casual. El Informe de Investigaciones de Brechas de Datos (DBIR) de 2026 de Verizon confirmó un giro estructural en el panorama de las amenazas: por primera vez en 19 años, la explotación de vulnerabilidades superó al robo de credenciales como el principal vector de ataque inicial . El giro de ShinyHunters hacia las cadenas de exploits reales —en lugar del abuso de identidad— está en sintonía con esta tendencia global y es una señal inequívoca de que este tipo de campañas masivas y paralelas contra plataformas empresariales de uso común no solo van a continuar, sino que son el nuevo campo de batalla.

Para las universidades, la lección es amarga. La misma cadena de suministro de software que convirtió a plataformas como Canvas y PeopleSoft en herramientas indispensables para la enseñanza y la administración, las ha transformado también en un punto único de fallo catastrófico cuando un atacante encuentra un rincón sin parchear .