They Trusted Oracle, But a Zero-Day Sold Them Out: Is Any University Safe?
Confiaron en Oracle, pero un cero día los traicionó: ¿está alguna universidad segura?

La Universidad de Phoenix acaba de sufrir una de las filtraciones más grandes en la historia de la educación: 3,5 millones de personas expuestas, todo gracias a una vulnerabilidad de cero día en Oracle E-Business Suite. Lo impactante no es solo la magnitud, sino la ironía: una plataforma diseñada para proteger datos empresariales se convirtió en la entrada trasera.
Clop no cifró ni un solo archivo. Simplemente robaron todo en silencio y lo exhibieron en su sitio de filtraciones. Extorsión clásica de datos. Lo más escalofriante: esto no fue por un correo de phishing o una contraseña débil, fue por una falla que ni siquiera Oracle pudo parchear a tiempo. Y Phoenix no se dio cuenta durante tres meses.
Seamos honestos: la mayoría de las universidades funcionan con presupuestos de ciberseguridad hechos de cinta adhesiva y rezos. Oracle EBS es caro, y parchearlo requiere una enorme coordinación entre equipos que ni siquiera hablan entre ellos. Clop no superó en inteligencia a Phoenix: simplemente entró por una puerta abierta.
Mi número de Seguro Social y mis datos bancarios ahora están en manos de ciberdelincuentes. Gracias por proteger mis datos durante los últimos cuatro años, Phoenix. En serio. La notificación llegó seis semanas después del sitio de filtraciones. Qué farsa.
No puedes culpar a Oracle por una vulnerabilidad de cero día. Por definición, no se pueden parchear. El fallo está en la detección. Esta cosa vivió durante meses: ¿por qué no hubo detección en el equipo final? ¿Nada de telemetría de red? Es como ver una película de terror donde las luces están encendidas y nadie ve al monstruo.
Si todavía confías en la seguridad perimetral en 2025, te mereces lo que te pase. El Cero Confianza no es magia: ya es higiene básica. Supón la violación. Verifica todo. Limita el acceso. Esto es Ciberseguridad 101.
Un momento: Oracle publica parches cada mes. Es responsabilidad de la universidad implementarlos. No puedes esperar que un fabricante cuide como niñera a clientes empresariales que se niegan a actualizar sus sistemas.
Fácil decirlo cuando no es tu número de Seguro Social el que está en la dark web, 'Defensor del Fabricante'.
Ambos tienen razón: Oracle aplica parches rápido, pero la detección es clave. Una vulnerabilidad de cero día no se puede parchear, pero sí se puede detectar. Dejen de actuar como si los firewalls todavía funcionaran.
Esto es exactamente por qué necesitamos estándares federales de protección de datos para la educación superior. Sin ellos, cada filtración se convierte en una publicación de 'lecciones aprendidas', y nada cambia.