En el turbio mundo del robo de datos, la reputación lo es todo. Si un atacante no puede demostrar la legitimidad de su botín, su credibilidad —y su ganancia— se desvanece. Eso es exactamente lo que parece estar sucediendo con la presunta filtración de datos de Oracle. El 21 de marzo de 2025, XVigil de CloudSEK descubrió a un atacante, "rose87168", que vendía 6 millones de registros exfiltrados del SSO y LDAP de Oracle Cloud. Los datos incluyen archivos JKS, contraseñas SSO cifradas, archivos de claves y claves JPS de Enterprise Manager. Oracle ha negado la filtración e incluso desde entonces, tras los intentos del hacker de vender la información robada en foros de la dark web, se está topando con una resistencia inesperada. Los compradores no pican. Peor aún, algunos cuestionan abiertamente la veracidad de la filtración. Lo que hace que esto sea aún más interesante es la creación de una nueva cuenta en el foro que, según algunos, Oracle instiga la falsa legitimidad de los datos robados. Únase a mí a través de mi investigación sobre los problemas actuales con la venta de violaciones de Oracle.
La caída inicial: un objetivo de alto perfil.
El actor de amenazas rose87168 apareció por primera vez en un conocido foro de ciberdelincuencia, alardeando de poseer una gran cantidad de datos internos de Oracle. Como ocurre con la mayoría de las filtraciones de alto valor, mantuvieron los detalles vagos, lo justo para despertar interés sin ofrecer nada gratis. Solo incluyeron algunas muestras censuradas, un precio y la promesa de que los compradores interesados podrían verificarlos antes de comprar.
La violación de datos contiene los siguientes elementos:
Uno pensaría que la filtración de Oracle sería fácil de vender, pero en lugar de ofertas inmediatas, el escepticismo inundó el hilo. Dado que Oracle ha estado negando las acusaciones sobre la filtración, otros miembros del foro presionaron para obtener más pruebas, cuestionando la legitimidad de la filtración. Esto no es raro —los compradores no quieren ser estafados—, pero en este caso, la reacción fue inusualmente agresiva.
Discusiones en sombra.
Las discusiones en torno a la filtración de datos de Oracle son algo nuevo para mí. Normalmente, vender un volcado de datos es sencillo y se realiza en una transacción corta. La situación actual es caótica y está llena de escepticismo entre los colegas. Se habla del odio hacia Oracle y su falta de reconocimiento de las vulnerabilidades de seguridad. Una de estas conversaciones trata sobre un actor de amenazas que reveló un error en su software de base de datos y Oracle respondió con una auditoría que lo dejó en el olvido. Huelga decir que, por alguna razón desconocida, creo que el sector cibercriminal no es partidario de Oracle.
La sombra en la habitación.
También hay otra afirmación de que el actor de la amenaza es en realidad un "insider". Esto es solo una afirmación, por supuesto, pero le da un giro intrigante a la historia. La conversación termina con un actor que afirma que se necesitan al menos 10,000 líneas de una muestra para validar la afirmación de la filtración. Por supuesto, otros también se suman. En la misma conversación, alguien llamado tester27 afirma que CloudSEK planeó la filtración. El actor afirma que CloudSEK la planeó con su empleado, y que trabajan como Rose, alias... el actor de la amenaza. Llegan a decir que tienen toda la conversación grabada y que su compañero es Alon Gal. ¿Tiene alguna base esta afirmación? Por el momento es solo una acusación, pero cuestiona su veracidad. Es decir, todos hemos visto amenazas y delitos internos en las empresas.
Creí haber visto todo lo que iba a ver, y esta filtración de datos no iba a vender. Surgió una nueva conversación con el actor de la amenaza. Era una cuenta creada el 25/3/2025 y estaba instigando al actor sobre la legitimidad de la filtración de datos. Algunos incluso afirmaban que la nueva cuenta, argumentando, pertenecía a Oracle o a un tercero para disuadir la venta de los datos.
Aparece un misterioso retador
Una de las críticas más acaloradas fue una cuenta recién creada que inmediatamente puso en duda las afirmaciones del vendedor. El atacante, ya nervioso, acusó rápidamente a la cuenta de estar vinculada a Oracle. De ser cierto, no sería la primera vez que una empresa (o una firma externa de inteligencia de amenazas) se infiltra en un foro para interrumpir una venta. Al exigir pruebas, señalar inconsistencias y calificar al atacante de fraude, la cuenta podría estar intentando minar la confianza del comprador, haciendo que los datos robados sean prácticamente inservibles. El hacker atacó, insistiendo en que los datos eran reales, pero el daño ya estaba hecho.
Primero, veamos la cuenta que hace las acusaciones. Es una cuenta nueva, sin rango ni reputación. Estas son las cuentas que resultan muy sospechosas en cuanto a transacciones y acciones. Lo último que hace un nuevo miembro es cuestionar a otros miembros con rango y reputación. Esto hace que las cosas sean obvias y, en el mejor de los casos, sospechosas.
Durante la conversación, la nueva cuenta cuestiona la legitimidad del volcado de datos, y el atacante afirma inmediatamente que la nueva cuenta es de Oracle o de un tercero. La conversación se extiende rápidamente y pronto la mayoría de los miembros se ponen del lado de Oracle y la nueva cuenta, que afirma que el volcado de datos es falso.
No se trata de un problema puntual. Vender datos corporativos siempre es arriesgado. A diferencia de la información personal, que se puede monetizar rápidamente, las filtraciones corporativas requieren confianza. Un comprador debe creer que los datos tienen valor, que son exclusivos y que no están cayendo en una trampa. Con el nombre de Oracle, hay mucho más en juego. Empresas de este tamaño cuentan con equipos enteros dedicados a rastrear y mitigar las filtraciones. Cualquier comprador descubierto traficando con datos robados de Oracle podría verse en la mira legal, o peor aún, comprando basura sin valor.
Las consecuencias: un acuerdo en duda
Hasta el momento, la venta sigue en el limbo. El actor de amenazas, frustrado por las acusaciones, ha redoblado sus esfuerzos, publicando más "pruebas" para intentar salvar el acuerdo. Pero el daño podría ser irreversible. Los compradores dudan, y si nadie se presenta pronto, el hacker podría verse obligado a bajar el precio o marcharse con las manos vacías. Para Oracle, esta podría ser una victoria excepcional en el juego del gato y el ratón de la ciberseguridad. Si la empresa (o alguien que trabaje en su nombre) logró contaminar el pozo, habría neutralizado eficazmente la brecha sin necesidad de recuperar los datos.
¿Pero para el hacker? En un mercado donde la confianza lo es todo, puede que haya aprendido a las malas que algunos bienes robados están demasiado dañados para venderse.
