Por / / Incidentes y Análisis, Vulnerabilidades y Amenazas / 17 minutes of reading
ZDU-005 · Análisis CISO ERP · Zero-Day · Extorsión Silenciosa

El ERP como Vector Crítico: Cómo Cl0p Silenció la Memoria Financiera de Más de 100 Organizaciones

Oracle E-Business Suite. CVE-2025-61882. CVSS 9.8. Explotado como zero-day desde agosto de 2025. Más de 100 organizaciones comprometidas. Cuatro grandes empresas globales todavía en silencio. México expuesto.
18 mar 2026 8 min de lectura Relevante para México: LFPDPPP · Oracle EBS Análisis: Luna Varela · ZDU Intelligence
Corredor de data center en penumbra con silueta de ejecutivo al fondo, simbolizando la brecha silenciosa de Oracle EBS explotada por Cl0p mediante CVE-2025-61882
CVE-2025-61882 · CVSS 9.8 · Explotado como zero-day desde julio 2025. La amenaza ya estaba adentro antes de que Oracle lanzara el parche.
Entre julio y agosto de 2025, algo se movió en silencio dentro de los servidores Oracle E-Business Suite de docenas de organizaciones alrededor del mundo. No hubo cifrado de archivos. No hubo pantalla de bloqueo. No hubo mensaje de rescate inmediato. Solo una exfiltración lenta, metodológica, invisible — alimentada por un zero-day que Oracle todavía no había detectado. Cuando los ejecutivos empezaron a recibir correos de extorsión el 29 de septiembre de 2025, firmados con el nombre del grupo Cl0p, muchos tuvieron que aceptar una realidad incómoda: sus organizaciones habían sido comprometidas semanas — en algunos casos, meses — antes de que nadie lo supiera. A la fecha de este análisis (16 de marzo de 2026), más de 100 organizaciones han sido listadas en el sitio de filtraciones de Cl0p. Cuatro gigantes globales — entre ellos Broadcom, Bechtel, Estée Lauder y Abbott — todavía no han hecho ninguna declaración pública, según SecurityWeek. En México, Grupo Bimbo aparece en esa lista como presunta víctima. Este no es un caso sobre un ransomware que cifra y exige. Es un caso sobre el ERP como sistema nervioso expuesto, y sobre el costo del silencio estratégico post-brecha.

Qué pasó: CVE-2025-61882 y la cadena de explotación invisible

La vulnerabilidad central — CVE-2025-61882 — tiene un CVSS de 9.8. Permite ejecución remota de código sin autenticación, accediendo al componente BI Publisher Integration del módulo Oracle Concurrent Processing a través de HTTP estándar. Cualquier instancia de Oracle EBS versiones 12.2.3 a 12.2.14 expuesta a internet era un objetivo viable. Cl0p/FIN11 encadenó esta falla con CVE-2025-61884 (CVSS 7.5) para acceder sin credenciales a componentes sensibles de configuración. Una vez dentro, desplegaron un framework de malware fileless multi-etapa: GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF y SAGEWAVE — implants en memoria diseñados para evadir detección basada en archivos. Cronología documentada:
FechaEvento
10 jul 2025Actividad sospechosa inicial en servidores EBS (detectada retroactivamente)
9 ago 2025Explotación confirmada de CVE-2025-61882 como zero-day (pre-patch)
29 sep 2025Campaña de extorsión masiva — correos a ejecutivos desde cuentas comprometidas
4 oct 2025Oracle libera parche de emergencia para CVE-2025-61882
11 oct 2025Parche out-of-band CVE-2025-61884 · CISA añade ambos al catálogo KEV
16 mar 2026100+ organizaciones listadas · 4 gigantes globales aún sin declaración pública
Kill chain GOLDVEIN — TTPs MITRE ATT&CK:
TécnicaDescripción
T1190Exploit Public-Facing Application — RCE pre-auth vía HTTP sobre Oracle EBS expuesto
T1059.007Implant fileless Java en memoria: GOLDVEIN.JAVA · SAGEGIFT · SAGELEAF · SAGEWAVE
T1083File and Directory Discovery — mapeo completo del entorno EBS
T1560 + T1041Compresión y exfiltración — nómina, contratos, finanzas, proveedores
T1586.002Extorsión vía cuentas corporativas comprometidas — bypass de filtros de spam
T1078Valid Accounts — bypass SSO via login local EBS sin MFA como ruta de supervivencia

Por qué importa: el ERP no es una aplicación. Es la memoria de la organización.

Oracle EBS no contiene datos de aplicación genéricos. Contiene nómina, expedientes de empleados, contratos con proveedores, configuración de cadena de suministro, registros financieros, información fiscal, datos de clientes con transacciones históricas. En muchos casos — incluyendo organizaciones con presencia en México — ese ERP es también el punto de integración con el SAT, con sistemas bancarios y con la contabilidad corporativa. Comprometer un Oracle EBS no es robar un archivo. Es obtener el libro mayor de la organización. El impacto sectorial en esta campaña fue ampliamente horizontal:
Manufactura y Retail Grupo Bimbo, Mazda, Canon, Michelin, Broadcom, Estée Lauder — todos en la lista de Cl0p.
Educación Harvard, University of Phoenix (3.5M afectados), Dartmouth, University of Pennsylvania.
Industrial y Medios Schneider Electric, Emerson (2.7 TB filtrados), The Washington Post, Madison Square Garden (210+ GB).
En México: Grupo Bimbo aparece en la lista de Cl0p como presunta víctima, sin confirmación pública independiente localizada a la fecha. Oracle EBS tiene penetración significativa en grandes corporativos mexicanos de manufactura, retail, gobierno y sector financiero. El riesgo no está limitado al caso Bimbo.

El riesgo que no termina: extorsión silenciosa y el gap de notificación

El modelo de Cl0p en esta campaña tiene un componente que los CISOs en México deben considerar con especial atención: el gap entre compromiso y extorsión. Las organizaciones afectadas tenían entre 6 y 8 semanas de data exfiltrada antes de recibir el primer correo de extorsión. La pregunta jurídica no es menor: ¿en qué momento comienza la obligación de notificación bajo LFPDPPP si la organización víctima descubrió el compromiso por el correo del extorsionador? El conocimiento tardío no exime de responsabilidad regulatoria.
Cumplimiento Regulatorio — ZDU-005

Este incidente activa múltiples marcos normativos de forma simultánea:

  • LFPDPPP Art. 36 — Obligación de notificación a titulares. El momento del conocimiento activa el plazo, no el momento del ataque.
  • ISO 27001 A.12.6.1 — Instancias EBS expuestas sin parches aplicados en tiempo representan una no conformidad directa.
  • NIST SP 800-61r3 — Organizaciones sin telemetría de comportamiento sobre servidores ERP fallaron en la fase Detection & Analysis.
  • CISA KEV — Ambos CVEs en catálogo de explotados conocidos. Parche mandatorio para exposición regulatoria en EE.UU.
  • NOM-151 / CNBV — Si el ERP integra datos fiscales SAT o registros financieros regulados, la exposición se extiende a normativa mexicana tributaria y bancaria.

Qué deberías hacer ahora

Si tienes Oracle EBS: Asume compromiso hasta demostrar lo contrario. Si tu instancia estuvo accesible por internet entre julio y octubre de 2025 y no habías aplicado los parches, el primer paso no es parchear — es revisar logs de acceso retroactivos desde julio.
Exposición de infraestructura ¿Tu instancia EBS tenía acceso directo desde internet en julio–agosto 2025? ¿Tus endpoints EBS locales requieren MFA, o solo dependen de SSO?
Telemetría de comportamiento ¿Tienes behavioral analysis de procesos Java en runtime sobre servidores EBS? ¿Tu XDR detecta implants fileless en memoria, no solo por firma o hash?
Protocolo de respuesta ¿Tienes definido qué ocurre cuando recibes un correo de extorsión antes de detectar la brecha? ¿Quién activa LFPDPPP Art. 36 y en qué plazo?
Revisión retroactiva Los IoC publicados por Oracle, Mandiant y CISA incluyen IPs, nombres de archivo y comandos. SentinelOne XDR y Tenable One con feed CISA KEV cubren ambos CVEs para análisis histórico.
Si no tienes Oracle EBS: El patrón sigue siendo relevante. Cl0p ha replicado este mismo playbook en MOVEit, GoAnywhere y Cleo. Si tu organización usa software de misión crítica expuesto a internet con actualizaciones no aplicadas, eres candidato para la próxima iteración.

La segunda brecha: el silencio como riesgo organizacional

A mediados de marzo de 2026, cuatro organizaciones globales listadas como víctimas en el sitio de Cl0p aún no han hecho ninguna declaración pública. Algunos de sus pares — los que no pagaron el rescate — ya tienen terabytes de datos internos disponibles públicamente en torrents. Este es el problema del silencio estratégico post-brecha: funciona mientras nadie descarga los archivos. En el momento en que un competidor, un regulador, un periodista o un demandante accede a esa data, el silencio se convierte en evidencia de negligencia deliberada — no de discreción operacional. La gestión de crisis de ciberseguridad en 2026 no es solo un problema técnico. Es un problema de gobernanza. El CISO que detecta y contiene tiene trabajo pendiente en la sala de juntas, no solo en el SOC.

Zero Day Universe · Capítulo ZDU-005

La Vena de Oro

El análisis técnico tiene su contrapartida narrativa. Lee cómo Eris Sentinel detectó a GOLDVEIN tres semanas antes de que llegara el correo de extorsión — y qué decide hacer el CISO con esa verdad a las 3:47 de la mañana.

Leer el capítulo ZDU-005 →

Fuentes técnicas verificadas: Google / Mandiant — Oracle EBS Zero-Day Exploitation Analysis · SecurityWeek, 16 mar 2026 — 4 Corporate Giants Still Silent · Tenable — CVE-2025-61882 FAQ · CISA KEV Catalog · NVD/NIST

Inteligencia Simbiótica

G.E.N.N.I.E.

Este caso fue procesado por el motor iCrawler del ZDU. Señales en CISA KEV y NVD correlacionadas con histórico de campañas Cl0p — patrón confirmado: explotación masiva de plataforma enterprise + data theft + extorsión diferida. Recomendación: auditoría de exposición ERP a internet en organizaciones con Oracle, SAP o Microsoft Dynamics. Conoce a G.E.N.N.I.E. →
Autora Editorial

Luna Varela

ZDU-INTEL-VARELA · Inteligencia Estratégica

Enlace de inteligencia estratégica y autora editorial del universo ZDU. Especialista en la intersección entre incidente técnico, impacto reputacional y comunicación ejecutiva. Ver todos los casos ZDU →
También en Zero Day Unit: · ZDU-002 — Hospital Bajo Fuego Interno · Servicios Administrados QMA · ¿Qué es un MSSP? · Ver todos los capítulos

Zero Day Universe es una construcción narrativa original de QMA. Sus personajes, tramas y casos están inspirados en escenarios reales de ciberseguridad y no representan incidentes literales ni casos de clientes.

ZDU-005  ·  Nivel 4 — Crisis Multisistema  ·  ERP / Zero-Day / Extorsión Silenciosa
La Vena de Oro

Oracle E-Business Suite llevaba semanas vaciándose en silencio. Cl0p no irrumpió. Se instaló. Y esperó a que tú hablaras primero.

18 mar 2026 12 min de lectura GOLDVEIN · CVE-2025-61882 México expuesto Eris Sentinel · Blacktrace · Luna Varela · NeonMind
Visualización del villano GOLDVEIN en el universo Zero Day Unit: arquitectura de servidor invadida por una red de venas doradas orgánicas que se extienden desde un núcleo central, representando el implant fileless GOLDVEIN.JAVA desplegado por Cl0p en la campaña Oracle EBS
GOLDVEIN — El implant no ataca. Se instala. Y espera.
El correo llegó a las 03:47, hora de la Ciudad de México. No llegó al sistema de alertas de NeonMind. No llegó al dashboard de Pixelin ni al feed de iCrawler. Llegó a la cuenta corporativa del CISO. Una dirección real, de una empresa real que no tenía nada que ver con el asunto, con una línea en el asunto que no sonaba a amenaza: “Estimado ejecutivo. Necesitamos hablar sobre su instalación de Oracle.” El CISO leyó el correo completo en silencio, con la pantalla inclinada para que las cámaras de la sala no capturaran el texto. Lo releyó una vez. Luego bajó el teléfono y entró a la sala de operaciones como si hubiera dormido bien. Eris Sentinel lo vio entrar. No dijo nada. No necesitó ver el correo para entender que algo había cambiado. Había aprendido a leerlo en cosas más pequeñas que una crisis: en la forma en que cerraba la mandíbula cuando contenía rabia, en el medio segundo extra que tardaba en sostenerle la mirada cuando ya sabía que la verdad iba a doler. Esa mañana traía ambas cosas.
● Cuatro años antes — Sala de Operaciones Secundaria, 02:23 El sistema tenía diecisiete alertas de “bajo riesgo” archivadas en la cola de revisión. Eris las había marcado como candidatas para análisis manual. Su supervisor de entonces —antes del CISO actual, antes de NeonMind, antes de que el ZDU fuera lo que era ahora— había dicho que no había recursos para revisar anomalías de comportamiento sin firma correlacionada. Seis semanas después, el incidente de aquella empresa textil salió en los medios. Doce meses de registros financieros comprometidos. Un ERP legado que nadie había auditado. Eris leyó el artículo en una tablet, en silencio, mientras archivaba su informe de aquella semana bajo el código de estado: DESCARTADO — FALSO POSITIVO. No lo olvidó.
Eris Sentinel “Pixelin. Necesito correlación en las últimas nueve semanas. Módulo Concurrent Processing, cualquier instancia con acceso HTTP no autenticado hacia BI Publisher Integration.”
El drone emitió una secuencia de proyecciones holográficas. Números. Ventanas de tiempo. Patrones de acceso. NeonMind apareció en el umbral de la sala de análisis. No preguntó qué estaba pasando. No necesitó preguntarlo —podía leer la postura de Eris desde el otro lado del cuarto, y esa postura decía que algo había estado pasando durante semanas y que ella lo había sabido antes de que nadie lo supiera. El CISO se quedó un momento detrás del cristal inteligente que separaba la sala del corredor, sin entrar del todo. Eris no giró, pero supo exactamente dónde estaba. No por el reflejo. No por el sonido. Por esa alteración mínima del espacio que solo deja una persona cuando ha ocupado demasiadas veces el borde de tu atención, incluso cuando no debería.
NeonMind “¿Cuánto tiempo?”
Eris Sentinel “Desde julio.” No levantó la vista del display. “El implant es fileless. Multi-etapa. Java en memoria — no deja rastro en disco para los escaneos convencionales. Estaba esperando un identificador de firma que nunca iba a aparecer.”
NeonMind “¿Cuántos nodos afectados?”
Eris Sentinel “Más de los que vamos a querer contar esta mañana.”

GOLDVEIN

Eris Sentinel analiza el kill chain de GOLDVEIN en el War Room ZDU — implants fileless SAGEGIFT, SAGELEAF, SAGEWAVE y GOLDVEIN.JAVA conectados a Oracle EBS, con alertas MITRE ATT&CK activas
Eris Sentinel analiza el kill chain de GOLDVEIN.JAVA — SAGEGIFT · SAGELEAF · SAGEWAVE · GOLDVEIN core — CVE-2025-61882 visualizado en display holográfico.
El nombre en el código de la amenaza era GOLDVEIN. No era el nombre que aparecía en ningún reporte. Era el nombre que le había dado el análisis de memoria: GOLDVEIN.JAVA, un framework modular que se instalaba en el espacio de proceso legítimo del servidor Oracle y abría cuatro canales simultáneos — SAGEGIFT para el reconocimiento, SAGELEAF para la compresión, SAGEWAVE para la exfiltración, y el núcleo GOLDVEIN gestionando la persistencia y la comunicación con el servidor de comando y control. Fileless. Invisible para los escaneos de archivo. Completamente funcional mientras el servidor estuviera vivo. La metáfora se construyó sola en la mente de Eris mientras miraba el diagrama de propagación: el ERP como un organismo. Los módulos de facturación, de nómina, de contratos, de cadena de suministro, interconectados como órganos. GOLDVEIN no había atacado un punto. Había encontrado la vena principal y había empezado a vaciarla, lenta y silenciosamente, durante semanas. El oro era la información. La vena era Oracle. Y el atacante había tenido tiempo de sobra.

Cl0p · 100+ organizaciones · México

ZDU-005_V3_group_mapa.png
Seed 43 · Eris LoRA activa · NeonMind por descripción
El board central del ZDU: 103 organizaciones listadas. El nombre que nadie esperaba ver en rojo.
Blacktrace llegó a la sala cuando el analysis board ya mostraba el mapa de víctimas. Más de cien organizaciones en el sitio de filtraciones del grupo Cl0p. Michelin. Grupo Bimbo. Madison Square Garden. Canon. Mazda. Broadcom. Estée Lauder. Harvard. Una aerolínea. Una editorial. Dos gigantes industriales que todavía no habían dicho una palabra en público. Blacktrace miró el mapa durante un momento sin hablar. Luego señaló una entrada específica.
Blacktrace “México.”
Eris Sentinel “Grupo Bimbo. Están en la lista.”
Blacktrace “El modelo de Cl0p en esta operación no fue ransomware tradicional. Fue exfiltración primero, extorsión después. Cuando recibes el correo, ya llevan semanas con tu data. El timing no es casualidad. Es diseño. Te dan tiempo suficiente para que el compromiso sea profundo antes de que sepas que existe.”
NeonMind “Para que cuando llegue el correo, la pregunta no sea si tienes una brecha. La pregunta sea cuánto vale mantenerla en silencio.”
Nadie respondió eso. Luna Varela entró a la sala tres minutos después. Leyó el board. Leyó los números. Leyó la lista de empresas silenciosas.
Luna Varela “Cuatro de las empresas más grandes en la lista siguen sin decir nada. No porque no sepan. Porque calcularon que el costo de hablar es mayor que el costo de esperar.”
Stratos “¿Y si ya publicaron los datos?”
Luna Varela “Entonces el silencio ya no protege a la empresa. Solo daña a las personas cuya información está en un torrent público mientras ellas todavía creen que están seguras. Ese es el segundo incidente. El primero fue la brecha. El segundo es decidir no hablar de ella.”
Veritas “LFPDPPP, Artículo 36. La obligación de notificación comienza en el momento del conocimiento, no del ataque. Si el CISO de una organización mexicana leyó ese correo de extorsión a las 3:47 de la mañana y decidió no activar el protocolo de respuesta antes de llegar a la oficina…”
Eris Sentinel “El reloj ya corría desde las 3:47.”
Veritas “Exactamente.”
Regulator no dijo nada durante toda la sesión de análisis. Solo tomó notas. Solo registró. Solo documentó el estado de las 23 organizaciones del sector manufacturero y retail en la lista que tenían presencia en México y que todavía no habían emitido comunicación formal a sus afectados.
Regulator “Tendré comentarios cuando sea el momento de tenerlos.”
Era, como siempre, la respuesta más ominosa de la sala.

La Deuda

Eris Sentinel pasó el resto de la noche construyendo el mapa de detección retroactiva. No era para las organizaciones víctimas — era demasiado tarde para eso. Era para los que todavía no habían recibido el correo. Los que aún no sabían si estaban en la lista. Los que tenían Oracle EBS expuesto y nunca habían pensado que ese era el vector a vigilar. En algún punto de esa noche, el CISO se acercó a su estación de trabajo. No dijo nada al principio. Solo se detuvo junto a ella, mirando el mismo display que ella miraba.
CISO “¿Desde julio?”
Durante un segundo, la sala dejó de ser una sala. No hubo displays, ni logs, ni matrices MITRE, ni protocolos. Solo dos personas suspendidas en el espacio exacto donde la verdad deja de ser información y se vuelve herida. Eris sostuvo su mirada un instante más de lo necesario. Lo suficiente para que él entendiera que no le estaba entregando un hallazgo técnico. Le estaba entregando una deuda.
Eris Sentinel “Desde julio.”
CISO “¿Tienes lo que necesitas para determinar si hubo exfiltración?”
Eris Sentinel “Necesito acceso a los logs de proceso de los servidores EBS desde el 9 de agosto. Y necesito que nadie me llame ruido de fondo durante las próximas cuatro horas.”
El CISO asintió y se alejó. Eris dejó que pasaran tres segundos antes de volver al teclado. Cuando él se alejó de su estación, ella no lo siguió con la vista. Nunca lo hacía cuando había otros en la sala. Pero dejó la mano inmóvil sobre el teclado durante dos segundos, exactamente dos, antes de volver al trabajo. En otro contexto, ese gesto no habría significado nada. En ese, significó todo lo que no podían permitirse decir.
07:22 — Fast Response Protocol ZDU-005 · Activación Nivel 4
CLASIFICACIÓN · Nivel 4 — Crisis Multisistema
AMENAZA ACTIVA · GOLDVEIN · Cl0p / FIN11 · CVE-2025-61882 · CVE-2025-61884
VECTOR · Oracle E-Business Suite — implant fileless pre-autenticación
ALCANCE · 100+ organizaciones globales · México expuesto (Grupo Bimbo en lista Cl0p)
ACTIVADOS · Eris Sentinel · Blacktrace · Pixelin · Stratos · Luna Varela · Veritas · Regulator
El día fue largo. La lista no se detuvo de crecer. Los datos de algunas organizaciones ya estaban en torrents públicos. Otras pagaron en silencio. Cuatro de las más grandes todavía no habían dicho nada. Pero en algún rincón del sistema, el implant GOLDVEIN ya no era invisible. Lo había encontrado Eris. Tres semanas antes de que el correo llegara.
ZDU-005_V4_cierre_amanecer.png
Seed 43 · LoRA eris-sentinel-v1 @90% + eris-body-v1 @50%
07:22. La amenaza ya tiene nombre. La deuda también.
■ MORALEJA ZDU-005 El atacante no irrumpe. Se instala. Aprende la arquitectura. Mapea el organismo. Y espera con paciencia infinita a que tú decidas hablar — o a que decidas no hacerlo. Porque ambas decisiones son útiles para él. Lo que GOLDVEIN enseña no es que Oracle era vulnerable. Toda plataforma compleja tiene vulnerabilidades. Lo que enseña es que la organización que no instrumenta su software de misión crítica con visibilidad de comportamiento — no de firma, de comportamiento — es una organización que solo descubre sus brechas cuando el atacante decide anunciárselas. Y para ese momento, el atacante ya ganó la primera ronda. La segunda ronda — la del silencio post-brecha, la de la decisión de no notificar, la de calcular el costo de la transparencia contra el costo de la espera — es una ronda que la organización puede perder completamente sola. El ERP no es una aplicación de soporte. Es la memoria financiera, operacional y humana de una empresa. Cuando esa memoria se vacía en silencio, la primera víctima no es la empresa. Son las personas cuya información ya está en un torrent público mientras todavía creen que están a salvo.

Zero Day Universe es una construcción narrativa original de QMA. Sus personajes, tramas y casos están inspirados en escenarios reales de ciberseguridad y no representan incidentes literales ni casos de clientes. · Para el análisis técnico completo: Artículo CISO ZDU-005 — El ERP como Vector Crítico.

Inteligencia Simbiótica

G.E.N.N.I.E.

Este caso fue procesado por el motor de inteligencia narrativa del ZDU. GOLDVEIN activó protocolos iCrawler y MUTA·CORE — correlación en tiempo real de CVE-2025-61882 con histórico de campañas Cl0p: MOVEit, GoAnywhere, Cleo. Patrón coincidente: explotación masiva de plataforma enterprise → data theft → extorsión diferida. Probabilidad de campaña adicional en verticales ERP: alta. Conoce a G.E.N.N.I.E. →
Autora Editorial

Luna Varela

ZDU-INTEL-VARELA · Inteligencia Estratégica

Enlace de inteligencia estratégica y autora editorial del universo ZDU. Especialista en la intersección entre incidente técnico, impacto reputacional y comunicación ejecutiva. Traduce el lenguaje del SOC al lenguaje de la sala de juntas — y viceversa. Ver todos los casos ZDU →
También en Zero Day Unit: · ZDU-002 — Hospital Bajo Fuego Interno · Ver todos los capítulos · G.E.N.N.I.E. — Centro de Inteligencia

Entradas relacionadas