El Washington Post ha confirmado que se vio afectado por un ciberataque a gran escala que explotaba una vulnerabilidad de día cero en E-Business Suite (EBS) de Oracle. El incidente es parte de una campaña generalizada atribuida al grupo de ransomware Cl0p, que se ha dirigido a miles de organizaciones en todo el mundo utilizando la misma falla.
En un breve comunicado, la compañía dijo que se había visto “afectada por la violación de la plataforma Oracle E-Business Suite”. La publicación no reveló detalles sobre qué tipo de datos se vieron afectados, pero los analistas de ciberseguridad creen que los atacantes pueden haber accedido a información financiera y administrativa confidencial.
La vulnerabilidad detrás del incidente, rastreada como CVE-2025-61882, permite la ejecución remota de código no autorizada en servidores Oracle EBS sin parches. Según los investigadores de amenazas de Mandiant y el Grupo de Inteligencia de Amenazas de Google, Cl0p comenzó a explotar la falla a principios de agosto de 2025, meses antes de que Oracle emitiera un parche. El exploit se describió como fácil de implementar y capaz de dar a los atacantes un control total sobre los sistemas vulnerables sin necesidad de credenciales válidas.
Oracle lanzó una solución el 4 de octubre después de observar indicios de explotación activa a principios de ese mes. La compañía advirtió que cualquier instancia de EBS accesible desde Internet y que ejecute versiones entre 12.2.3 y 12.2.14 ya puede haber sido comprometida. Oracle instó a los clientes a aplicar el parche de inmediato y realizar revisiones forenses para identificar actividades no autorizadas.
Cl0p, un grupo de ransomware conocido por el robo de datos y la extorsión a gran escala, ha incluido varias organizaciones afectadas en su sitio de filtración, incluidas instituciones financieras, empresas de logística y proveedores de servicios tecnológicos. El grupo generalmente exige un pago a cambio de eliminar información robada o retrasar su publicación.
Si bien el Washington Post confirmó su inclusión entre las partes afectadas, el periódico dijo que continúa operando normalmente. Los equipos de seguridad están evaluando el alcance de la intrusión y han implementado controles adicionales de monitoreo y acceso para evitar mayores riesgos.
Explotación global y preocupaciones de la cadena de suministro
Los expertos en seguridad han descrito el ataque como una de las violaciones de software empresarial más importantes de los últimos años debido al uso generalizado de Oracle EBS en finanzas corporativas, logística y recursos humanos. La plataforma sirve como un sistema central para procesar datos comerciales confidenciales, lo que la convierte en un objetivo valioso para los actores de amenazas motivados financieramente.
La campaña Cl0p marca otro ejemplo de atacantes que pasan de las infracciones de una sola empresa a la explotación de los ecosistemas de proveedores. Al comprometer una plataforma empresarial de uso común, un solo exploit puede proporcionar acceso a varios clientes a la vez. Esta estrategia refleja operaciones anteriores de Cl0p, como los ataques de transferencia de archivos MOVEit que afectaron a agencias gubernamentales y corporaciones globales en 2023.
Los investigadores advierten que las organizaciones que dependen del software empresarial de terceros siguen estando muy expuestas. La intrusión inicial a menudo ocurre a través de vulnerabilidades en la capa de aplicación, eludiendo las protecciones estándar de los endpoints y dificultando la detección. Una vez dentro, los atacantes pueden moverse lateralmente a través de sistemas confiables, exfiltrar datos confidenciales y lanzar campañas de extorsión.
Para las empresas afectadas, los expertos recomiendan una combinación de parches, segmentación de red y monitoreo continuo. Los sistemas que ejecutan versiones anteriores o personalizadas de Oracle EBS deben priorizarse para su revisión, y todas las conexiones externas a la plataforma deben restringirse.
Aunque el parche de Oracle aborda la vulnerabilidad, los investigadores creen que algunos sistemas comprometidos ya pueden contener puertas traseras persistentes instaladas antes de que se lanzara la solución. Como resultado, es posible que la aplicación de la actualización por sí sola no elimine la amenaza. Se recomienda a los equipos de seguridad que realicen un análisis forense detallado para confirmar que los atacantes ya no tienen acceso.
La participación del Washington Post en la violación destaca el creciente impacto de los incidentes cibernéticos de la cadena de suministro que se extienden a través de industrias y sectores. A medida que los atacantes explotan las plataformas empresariales ampliamente implementadas, incluso las organizaciones con fuertes defensas internas pueden verse afectadas indirectamente.
La investigación sobre los ataques de Oracle EBS continúa, y tanto Oracle como las agencias federales de ciberseguridad están trabajando con las empresas afectadas para evaluar el alcance total de la campaña. Por ahora, el incidente sirve como otro recordatorio de que las vulnerabilidades en el software empresarial pueden convertirse rápidamente en puntos de entrada para grupos globales de ransomware con un alcance y recursos significativos.