GEN-072 — CVE-2026-35273 en PeopleSoft: RCE sin autenticación explotado
La ejecución remota de código sin autenticación en PeopleSoft dejó de ser un escenario teórico. Oracle confirmó la explotación activa de CVE-2026-35273 por el grupo ShinyHunter, que aprovecha esta vulnerabilidad crítica para robo masivo de datos corporativos en sistemas ERP que gestionan nómina, recursos humanos y finanzas. En México, donde PeopleSoft mantiene presencia significativa en sectores financiero, gubernamental y educativo, la superficie de ataque es concreta e inmediata.
Control total del servidor sin una sola credencial
Lo que aparenta ser un problema de parcheo ordinario esconde una condición mucho más grave: CVE-2026-35273 no requiere autenticación previa. Un actor externo puede obtener control total del servidor PeopleSoft a través de la red pública sin conocer ningún usuario ni contraseña del sistema. Esto convierte cada instancia PeopleSoft expuesta a internet en un activo comprometible de forma trivial, independientemente de la solidez de las políticas de contraseñas de la organización.
Oracle emitió un parche de emergencia al confirmar la explotación activa. Sin embargo, el intervalo entre la explotación y la aplicación del parche en entornos de producción complejos —especialmente en ERP de misión crítica con dependencias de personalización— es precisamente la ventana que ShinyHunter está aprovechando. En consecuencia, aplicar el parche no es suficiente sin verificar primero si el sistema ya fue comprometido.
Contexto: ShinyHunter y el patrón de ataque a ERP legacy
ShinyHunter no es un actor nuevo. El grupo tiene historial documentado de ataques dirigidos a aplicaciones empresariales con grandes volúmenes de datos de identidad: bases de datos de clientes, registros de empleados y expedientes financieros. Su elección de PeopleSoft responde a un patrón calculado: las plataformas ERP legacy concentran datos de alto valor y acumulan deuda técnica de seguridad derivada de ciclos de parcheo lentos.
El perfil de organizaciones mexicanas que operan PeopleSoft incluye entidades financieras reguladas por la CNBV, dependencias gubernamentales, universidades públicas y privadas, y empresas del sector de telecomunicaciones y cadena de suministro. Todas ellas gestionan en PeopleSoft activos de datos que van desde información fiscal de empleados hasta expedientes clínicos y registros estudiantiles, cuya exfiltración genera obligaciones regulatorias inmediatas.
Puente de oro: lo que el marco legal mexicano ya exige
La explotación de CVE-2026-35273 no es solo un incidente técnico. En México, activa obligaciones regulatorias concretas que las áreas de seguridad deben coordinar con sus equipos legales y de cumplimiento de forma inmediata.
La Ley de Ciberseguridad MX 2025 en su Art. 26 obliga a operadores de servicios esenciales, administradores de infraestructura crítica de la información y entidades obligadas a notificar a la ANCS de forma oportuna y proporcionada cualquier incidente. Los plazos específicos se establecen en protocolos secundarios, por lo que las organizaciones deben tener definido su procedimiento interno de notificación antes de que ocurra el incidente, no después.
Adicionalmente, la Ley de Ciberseguridad MX 2025 en su Art. 30 establece obligaciones diferenciadas por criticidad: las organizaciones clasificadas con criticidad ALTA —infraestructura crítica y operadores de servicios esenciales estratégicos— están sujetas a evaluación continua, auditorías anuales, planes de contingencia y notificación inmediata. Para estas entidades, un ERP comprometido sin plan de respuesta documentado constituye incumplimiento regulatorio per se.
Asimismo, la Ley de Ciberseguridad MX 2025 en su Art. 18 exige que todas las instancias sujetas a la Ley designen un enlace especializado en ciberseguridad responsable de la gestión, flujo e intercambio de información crítica. La coordinación durante la respuesta a un incidente como este —entre equipos SOC, legal, proveedores y la ANCS— recae explícitamente en esa figura.
Para entidades del sector financiero, la presión regulatoria es adicional. La LIC regula a bancos comerciales y de desarrollo, y la CNBV ha sancionado recientemente deficiencias en sistemas de detección y monitoreo. Banco PagaTodo fue sancionado el 27 de marzo de 2026 con multa de $448,100 por LIC por deficiencias en sistemas automatizados de detección, monitoreo y reporte de operaciones. Un ERP comprometido que no active alertas de comportamiento anómalo configura exactamente el mismo supuesto. Por su parte, CI Casa de Bolsa fue sancionada el 27 de marzo de 2026 con multa de $1,792,400 por LMV por omitir un sistema automatizado para recepción, registro y canalización de órdenes: otro recordatorio de que los sistemas automatizados de control interno son expectativa regulatoria, no opción.
La LFPDPPP también es relevante para las organizaciones que procesan datos personales de empleados o clientes en PeopleSoft: la exfiltración de esa información activa las obligaciones de notificación al INAI y, dependiendo del sector, obligaciones adicionales ante CONDUSEF.
Recomendaciones operativas para CISOs hoy
La respuesta a CVE-2026-35273 requiere acciones simultáneas en cuatro frentes. Dado que la explotación ya está activa, la secuencia importa:
- Verificar compromiso antes de parchear. Revisar logs de acceso PeopleSoft en búsqueda de solicitudes anómalas, cuentas de usuario creadas recientemente sin autorización y conexiones a endpoints inusuales. Parchear sobre un sistema ya comprometido no elimina el acceso del atacante.
- Aplicar el parche de emergencia de Oracle de forma urgente. Priorizar instancias expuestas a internet o conectadas a segmentos de red con acceso externo. Si el entorno no permite parcheo inmediato, implementar controles compensatorios: WAF con reglas específicas para CVE-2026-35273 y segmentación de red.
- Validar integridad de bases de datos. Verificar que no se hayan modificado registros críticos (nómina, accesos privilegiados, configuración de roles) durante el período de exposición. Comparar contra respaldos confiables previos.
- Activar el protocolo de notificación regulatoria. Si se confirma exfiltración de datos personales, activar de inmediato el proceso de notificación a la ANCS conforme al Art. 26 de la Ley de Ciberseguridad MX 2025 y, si aplica, al INAI bajo LFPDPPP. Involucrar al enlace de ciberseguridad designado conforme al Art. 18.
- Auditar el inventario completo de instancias PeopleSoft. Identificar todas las instancias activas, incluyendo entornos de desarrollo y QA que frecuentemente quedan fuera del ciclo de parcheo pero tienen acceso a datos reales.
- Escalar a servicios de monitoreo SOC con visibilidad en logs de PeopleSoft para detección continua de indicadores de compromiso (IoC) asociados a ShinyHunter.
Las organizaciones con marcos de gobernanza y gestión de riesgo (GRC) formalizados pueden acelerar la respuesta al tener pre-documentados los umbrales de notificación regulatoria y los planes de contingencia que exige el Art. 30. Para las que no los tienen, este incidente evidencia el costo de esa brecha. Consulta los indicadores KEV activos para rastrear el estado de explotación confirmada de CVE-2026-35273.
Más sobre vulnerabilidades críticas en ERP empresarial
Para profundizar, consulta:
- BleepingComputer — Oracle mitigates PeopleSoft zero-day exploited in data theft attacks — Reporte original con detalles técnicos de la explotación activa de CVE-2026-35273.
- MITRE ATT&CK T1190 — Exploit Public-Facing Application — Documentación de la técnica utilizada por ShinyHunter para la explotación inicial.
- CISA Known Exploited Vulnerabilities Catalog — Catálogo de vulnerabilidades con explotación confirmada para priorización de parcheo.
G.E.N.N.I.E. — Centro de Inteligencia Simbótica
ShinyHunter explota CVE-2026-35273, RCE sin autenticación en PeopleSoft. Organizaciones MX de finanzas, gobierno y educación en riesgo inmediato. Parche disponible.
Luna Varela de la Vega — ZDU-INTEL-VARELA
Enlace de Inteligencia Estratégica. Jefa de Relaciones Públicas del ZDU. Autora editorial.
La inteligencia operativa converge en un solo punto: el riesgo no empieza con el parche pendiente, empieza con el sistema ya comprometido que nadie ha revisado aún.
Señales de convergencia: ERP expuesto, actor activo, marco regulatorio activado
Correlación de señales — Patrón operativo CVE-2026-35273
La inteligencia de superficie indica que CVE-2026-35273 representa una convergencia de factores de riesgo poco frecuente: una vulnerabilidad de ejecución remota de código sin autenticación en una plataforma ERP ampliamente adoptada, con explotación activa confirmada por el vendor antes de que la mayoría de organizaciones hayan completado el ciclo de parcheo. Según el framework NIST CSF 2.0, esta condición activa simultáneamente las funciones de Detect, Respond y Recover sin haber completado la función Protect, lo que invierte el orden esperado de respuesta. El análisis de telemetría disponible muestra que los sistemas PeopleSoft con interfaces web expuestas a internet son el vector de entrada principal. El patrón de explotación es consistente con la técnica MITRE ATT&CK T1190 (Exploit Public-Facing Application), seguida de T1078 (Valid Accounts) para persistencia mediante creación de cuentas locales. En consecuencia, los equipos SOC deben priorizar la revisión de logs de autenticación y gestión de cuentas en el período inmediatamente anterior a la aplicación del parche. La ISO/IEC 27001:2022 en su control A.8.8 (gestión de vulnerabilidades técnicas) establece que el tiempo entre identificación y remediación debe ser proporcional al riesgo: un RCE sin autenticación con explotación activa clasifica como remediación inmediata, no en el próximo ciclo de parcheo mensual.
Inteligencia dark web — Rastreo del actor ShinyHunter
El monitoreo de foros underground revela que ShinyHunter mantiene un perfil operativo consistente con la monetización de datos corporativos de alto valor mediante venta en mercados privados y extorsión directa a víctimas. El grupo ha demostrado preferencia por plataformas SaaS y ERP de adopción masiva, en contraste con actores que priorizan infraestructura crítica o ransomware destructivo. Esta orientación implica que el objetivo primario en la explotación de CVE-2026-35273 es la exfiltración silenciosa de datos —registros de nómina, identidades de empleados, datos financieros estructurados— y no el cifrado disruptivo de sistemas. La inteligencia dark web correlaciona este patrón con campañas previas del grupo contra plataformas cloud y aplicaciones empresariales con grandes bases de usuarios. En el contexto mexicano, los sectores financiero y gubernamental representan blancos de alta prioridad dado el volumen y sensibilidad de los datos gestionados en PeopleSoft. Por lo tanto, las organizaciones deben asumir que, si su instancia estuvo expuesta durante el período de explotación, la pregunta no es si fueron víctimas de intento de acceso, sino si el intento fue exitoso. La verificación forense de los logs de acceso es el único mecanismo para descartar compromiso con certeza razonable.
Marco legal y privacidad — Obligaciones regulatorias activadas
El marco legal mexicano establece obligaciones concretas que este incidente activa de forma directa. La Ley de Ciberseguridad MX 2025 Art. 26 obliga a operadores de servicios esenciales y entidades obligadas a notificar a la ANCS de forma oportuna y proporcionada cualquier incidente, con plazos definidos en protocolos secundarios. El Art. 30 diferencia las obligaciones por nivel de criticidad: las entidades de criticidad ALTA están sujetas a notificación inmediata y evaluación continua, mientras que las de criticidad MEDIA deben contar con políticas internas y evaluación periódica. Adicionalmente, el Art. 18 exige la designación de un enlace especializado en ciberseguridad como figura de coordinación para exactamente este tipo de escenario. La LFPDPPP activa obligaciones de notificación al INAI cuando hay exfiltración de datos personales, un supuesto altamente probable dada la naturaleza de los datos procesados en PeopleSoft. Para entidades financieras, la LIC añade la expectativa regulatoria de sistemas automatizados de detección y monitoreo: la CNBV sancionó a Banco PagaTodo el 27 de marzo de 2026 con multa de $448,100 por LIC por deficiencias en sistemas automatizados de detección, monitoreo y reporte de operaciones, configurando un precedente aplicable a cualquier entidad que no detecte actividad anómala en sus sistemas ERP durante este período.
Postura normativa — Evaluación de cumplimiento sectorial
La evaluación de cumplimiento en el contexto de CVE-2026-35273 revela gaps estructurales en múltiples sectores. En primer lugar, el ciclo de parcheo de plataformas ERP como PeopleSoft es históricamente más lento que el de infraestructura de red o endpoints, debido a las dependencias de personalización y los requerimientos de validación en entornos de producción. Sin embargo, este diferencial no está contemplado como excepción en los marcos regulatorios mexicanos aplicables: la Ley de Ciberseguridad MX 2025 no establece plazos diferenciados según la complejidad del entorno. En consecuencia, las organizaciones que demoren la remediación por razones operativas deben documentar controles compensatorios formales para sostener su postura de cumplimiento ante una eventual revisión regulatoria. La LMV añade presión específica para casas de bolsa y participantes del mercado de valores: CI Casa de Bolsa fue sancionada el 27 de marzo de 2026 con multa de $1,792,400 por LMV por omitir un sistema automatizado para recepción, registro y canalización de órdenes, evidenciando que la CNBV evalúa activamente la capacidad de los sistemas automatizados de control interno. Asimismo, entidades que operan PeopleSoft en sectores como supply chain y telecomunicaciones deben revisar si califican como operadores de servicios esenciales bajo la Ley de Ciberseguridad MX 2025, lo que determinaría su nivel de obligaciones bajo el Art. 30.
Inteligencia: módulos de superficie, dark web forensics, marco legal y compliance ZDU.
