CVE-2026-35273: El Zero-Day de PeopleSoft que Hizo Imposible Ignorar el Problema de ERP en la Educación Superior

Existe una categoría de vulnerabilidad que los equipos de seguridad temen más que ninguna otra: no la que tiene el nombre llamativo ni la cobertura mediática exagerada, sino la falla silenciosa de ejecución remota de código no autenticada que se esconde en un componente que nadie puso en la lista de monitoreo. CVE-2026-35273 es exactamente ese tipo de falla. Entre finales de mayo y principios de junio de 2026, permitió a los atacantes entrar por la puerta principal de los sistemas de recursos humanos universitarios, plataformas de nómina y portales de información estudiantil sin necesidad de adivinar siquiera una contraseña. La lección que enseña no tiene que ver principalmente con un grupo de actores de amenazas ni con un número de víctimas. Tiene que ver con el punto ciego estructural que convierte la infraestructura ERP empresarial en la educación superior en una superficie de ataque consistentemente subestimada.

Qué es realmente CVE-2026-35273 (y por qué un 9.8 importa)

CVE-2026-35273 es una vulnerabilidad crítica de ejecución remota de código en el Environment Management Hub de Oracle PeopleSoft, conocido comúnmente como PSEMHUB. Según Mandiant y el Grupo de Inteligencia de Amenazas de Google (GTIG), la vulnerabilidad tiene una puntuación CVSS de 9.8, lo que la sitúa en el techo de la escala de gravedad. La razón técnica por la que la puntuación es tan alta es precisamente lo que la hace instructiva: un atacante no autenticado puede enviar una solicitud diseñada específicamente a un endpoint de PSEMHUB y lograr la ejecución completa de código en el sistema subyacente sin ninguna credencial. Sin phishing, sin tokens de sesión robados, sin acceso interno requerido.

Mandiant y GTIG observaron actividad de explotación activa entre el 27 de mayo y el 9 de junio de 2026. Oracle publicó su aviso de seguridad el 10 de junio de 2026, según el mismo informe. Esa ventana de trece días en la que la vulnerabilidad fue utilizada como arma antes de que existiera cualquier aviso oficial o parche es la definición formal de explotación de día cero, y es el escenario que justifica el presupuesto de los programas de gestión de vulnerabilidades. La conclusión defensiva clave aquí tiene que ver con el tiempo: la brecha entre la primera explotación y la divulgación por parte del proveedor es donde las organizaciones que dependen únicamente de una remediación reactiva al estilo del "Martes de parches" están más expuestas.

PSEMHUB es un componente administrativo de PeopleSoft, una plataforma ampliamente utilizada en la educación superior para recursos humanos, nómina y gestión de información estudiantil. Con frecuencia está expuesto a internet y, como demostró esta campaña, a menudo está poco monitoreado en relación con sus privilegios de acceso. Un CVSS de 9.8 en una infraestructura que los administradores tratan como fontanería de fondo es precisamente el tipo de evaluación de riesgos mal calibrada que las cadenas de ataque están diseñadas para explotar.

La cadena de ataque: cómo PSEMHUB se convirtió en un punto de apoyo

Comprender la mecánica de cómo los atacantes pasaron del acceso inicial al control persistente es la parte más educativa de este incidente. Según Mandiant y GTIG, la explotación de los endpoints de PSEMHUB fue el vector de acceso inicial, consistente con CVE-2026-35273. Una vez dentro, los entornos de preparación del atacante alojaban agentes MeshCentral personalizados disfrazados de endpoints legítimos en la nube. MeshCentral es una herramienta de gestión remota real y legítima; reutilizarla como camuflaje para el acceso persistente es una técnica que los investigadores de seguridad denominan "vivir del terreno" (living-off-the-land), y vale la pena comprenderla porque neutraliza una categoría importante de reglas de detección que buscan herramientas obviamente maliciosas en lugar de software legítimo que ha sido abusado.

La campaña resultó en robo de datos generalizado y extorsión, seguidos de filtraciones públicas de datos, según Rescana. El informe de Mandiant y GTIG señaló que más de 100 organizaciones globales recibieron notificaciones de que sus direcciones IP se correlacionaban con endpoints potencialmente vulnerables. De ellas, el 68 por ciento operaba dentro del sector de la educación superior, y la mayoría tenía sede en los Estados Unidos. Esa concentración no es casual. Las instituciones de educación superior comúnmente utilizan PeopleSoft para registros estudiantiles, ayuda financiera y recursos humanos; con frecuencia operan con equipos de seguridad más reducidos en relación con su huella de datos, y sus sistemas suelen tener obligaciones de cumplimiento normativo sobre datos estudiantiles que hacen que las brechas sean operativa y legalmente costosas.

Por qué los sistemas ERP son la superficie de ataque subestimada

La lección más duradera de CVE-2026-35273 es estructural. Las plataformas ERP empresariales como PeopleSoft no son concebidas como perímetros de seguridad por la mayoría de quienes las administran. Se conciben como sistemas de negocio: lo que procesa la nómina, registra las matrículas, genera los informes de cumplimiento. Ese modelo mental crea una brecha entre el perfil de exposición real de la plataforma y la atención que recibe de las operaciones de seguridad.

Según Rescana, la campaña demuestra la creciente sofisticación de los actores de amenazas a la hora de aprovechar vulnerabilidades de día cero contra aplicaciones empresariales críticas, y destaca la urgente necesidad de capacidades de gestión de vulnerabilidades y respuesta a incidentes. Ese enfoque es correcto, pero la traducción práctica para los defensores es más específica: los endpoints de PSEMHUB no deberían estar expuestos a internet sin controles compensatorios, los componentes administrativos de las plataformas ERP merecen la misma disciplina de segmentación de red que cualquier otro sistema de altos privilegios, y el monitoreo del uso anómalo de herramientas de gestión remota legítimas es una inversión en detección con amplios beneficios para muchos patrones de ataque, no solo para este.

Para los equipos de seguridad y los estudiantes que aprenden operaciones defensivas, este incidente es un caso de estudio útil sobre cómo se construyen las cadenas de ataque a partir de componentes infravalorados. La vulnerabilidad en sí era novedosa y no estaba expuesta. Las herramientas utilizadas para la persistencia eran legítimas. La selección de objetivos era lógica dado el valor de los datos y las limitaciones de recursos. Ninguno de esos tres elementos requería una sofisticación extraordinaria por sí solo; juntos, sumaron una campaña que afectó a más de 100 organizaciones antes de que existiera un parche.

Qué significa esto para defensores y estudiantes

El aviso de Oracle del 10 de junio de 2026 debe ser el punto de partida, no el punto final, para cualquier institución que utilice PeopleSoft. Aplicar el parche disponible es la acción inmediata e innegociable. Pero el aprendizaje a largo plazo tiene que ver con la postura: qué componentes administrativos de tu entorno están expuestos a internet y poco monitoreados, qué herramientas legítimas de tu entorno tecnológico podrían reutilizarse para persistencia, y con qué rapidez tu canal de detección marcaría el acceso no autenticado a un endpoint de altos privilegios.

Para estudiantes y profesionales que desarrollan habilidades en gestión de vulnerabilidades, CVE-2026-35273 es un ejemplo claro de por qué las puntuaciones CVSS por sí solas no capturan el riesgo. Un 9.8 en un componente que nadie monitorea es más peligroso en la práctica que un 9.8 en un componente rodeado de controles compensatorios. El riesgo siempre es contextual. Las instituciones que salen de incidentes como este con el menor daño posible son las que tratan las interfaces administrativas de ERP con el mismo escepticismo que aplican a las aplicaciones web de cara al público. No es un principio complejo. Simplemente es uno poco apreciado, y esta campaña es el costo de no apreciarlo suficientemente.

Esté atento a la guía de parcheo de seguimiento de Oracle y a la documentación actualizada de endurecimiento de PSEMHUB a medida que madura el análisis del incidente. Security Week y el informe de Mandiant y GTIG son las fuentes principales para rastrear actualizaciones técnicas. Si tu institución u organización utiliza PeopleSoft, este es el momento de auditar la exposición, verificar el estado de los parches y revisar qué cubre tu monitoreo en el nivel administrativo de tu entorno ERP.