Nissan Americas confirmó que atacantes vinculados a ShinyHunters (rastreados por Mandiant y Google GTIG como UNC6240) pudieron haber robado información de empleados actuales y anteriores en Estados Unidos, Canadá, México y Brasil. El acceso ocurrió a través de una vulnerabilidad crítica de día cero en Oracle PeopleSoft, el sistema que la compañía usa para nómina, administración fiscal y expedientes de personal. Entre los datos potencialmente comprometidos hay números de seguro social, información bancaria y datos financieros y fiscales de colaboradores.
Cómo ocurrió el ataque
La campaña explotó CVE-2026-35273, una falla crítica (CVSS 9.8) de tipo SSRF-a-RCE sin autenticación en el componente Updates Environment Management (PSEMHUB) de Oracle PeopleSoft PeopleTools, versiones 8.61 y 8.62. Los atacantes comenzaron a aprovecharla desde finales de mayo de 2026, más de dos semanas antes de que Oracle liberara un parche de emergencia. En términos de MITRE ATT&CK, el vector corresponde a Exploit Public-Facing Application (T1190) como acceso inicial, seguido de recolección y exfiltración de datos (TA0009 / TA0010). Mandiant identificó más de 300 instancias de PeopleSoft comprometidas en más de 100 organizaciones a nivel global, lo que confirma una campaña automatizada y a gran escala, no un ataque dirigido y artesanal contra una sola empresa.
Por qué importa
Este caso ilustra un riesgo que muchas empresas en LATAM subestiman: la exposición no viene únicamente de tus propios sistemas, sino de aplicaciones empresariales de terceros, como PeopleSoft, SAP o Workday, que gestionan tus datos más sensibles: nómina, información fiscal y expedientes de RH. Con presencia confirmada en México y Brasil, el incidente nos hace recordar que un zero-day en software ampliamente adoptado puede convertir a cualquier filial regional en víctima colateral, sin importar el tamaño de la operación local. Además, el robo de datos de RH tiene una cola larga: alimenta fraude de reembolsos fiscales, ataques de redirección de depósito directo contra nómina y phishing dirigido usando información de dependientes y beneficiarios.
Qué puedes hacer
- Identifica y prioriza tus aplicaciones empresariales críticas. Un ejercicio de pentesting con dAttack revela si tus sistemas ERP, HRIS o de nómina tienen vulnerabilidades explotables antes de que un actor de amenazas las encuentre primero.
- Formaliza la gestión de parches y activos como parte de tu SGSI. Marcos como ISO 27001 exigen un inventario de activos y un proceso de gestión de vulnerabilidades que reduce la ventana de exposición ante zero-days como este.
- Detecta actividad anómala en tus plataformas de RH y nómina. Un dSOC con monitoreo 24/7 identifica patrones de acceso inusuales a sistemas críticos antes de que la exfiltración escale.
En Delta Protect acompañamos a empresas en LATAM a blindar sus sistemas críticos, incluyendo aplicaciones de terceros como Oracle, SAP o Workday, con una estrategia de ciberseguridad que va del diagnóstico a la respuesta.
























