Recientes hallazgos ponen en duda la postura oficial de Oracle sobre la supuesta invulnerabilidad de sus sistemas tras la filtración de credenciales de usuarios. La controversia surge a raíz de las afirmaciones del actor de amenazas ‘rose87168’, quien aseguró haber comprometido los servidores de Adobe Cloud y haber obtenido información de acceso a 6 millones de cuentas.
En respuesta a estas acusaciones, Oracle negó haber sufrido una brecha de seguridad en su infraestructura en la nube y aseguró que las credenciales expuestas no pertenecen a Oracle Cloud. La compañía también manifestó que ningún cliente ha reportado pérdida de datos o incidentes de seguridad vinculados a esta supuesta filtración.
Evidencia contraria a la postura de Oracle
A pesar de la declaración oficial, la plataforma de ciberseguridad Bleeping Computer ha obtenido testimonios que contradicen la versión de Oracle. La investigación de este medio, en conjunto con la firma de seguridad Cloudsek, reveló que, hasta el 17 de febrero de 2025, el servidor «login.us2.oraclecloud.com» ejecutaba Oracle Fusion Middleware 11g, software que posteriormente fue desactivado tras la publicación de la supuesta brecha.
Actor de amenazas que enumera 6 millones de registros exfiltrados de Oracle Cloud 
Captura de pantalla de fofa que muestra el punto de conexión login.us2.oraclecloud.com 
Captura de pantalla del login.us2.oraclecloud.com en Wayback Machine 
Captura de pantalla del archivo de texto cargado por el actor de amenazas en el endpoint login.us2.oraclecloud.com
Además, diversas empresas afectadas han validado la autenticidad de las credenciales expuestas, lo que sugiere que la filtración podría ser real. Según fuentes anónimas contactadas por Bleeping Computer, los nombres de usuario LDAP, correos electrónicos y otros datos coinciden con los de empleados de empresas que operan en Oracle Cloud.
Comunicación con el atacante
Otro dato revelador es la existencia de un intercambio de correos entre el hacker y Oracle. En una de las conversaciones, el ciberdelincuente reportó directamente a Oracle el acceso no autorizado a sus servidores. Posteriormente, recibió una respuesta desde una cuenta @proton.me, lo que ha generado dudas sobre la estrategia de comunicación de Oracle en el manejo de este incidente.
Si bien la empresa ha insistido en que no se ha producido una brecha en su infraestructura, la aparición de evidencia que indica lo contrario plantea interrogantes sobre la transparencia en su gestión de incidentes de seguridad. La posibilidad de que información sensible haya sido comprometida subraya la importancia de monitorear de cerca el desarrollo de esta situación y reforzar las medidas de seguridad en la nube.
