Oracle ha tenido que publicar una corrección para una vulnerabilidad en PeopleSoft, su suite de aplicaciones empresariales de recursos humanos, finanzas y gestión, después de que se detectaran ataques que la aprovechaban como zero-day —es decir, antes de que existiera parche—.

PeopleSoft es un sistema crítico: en él residen nóminas, datos de empleados, información financiera y procesos centrales de universidades, administraciones y grandes empresas. Un atacante con acceso a estos sistemas obtiene a la vez datos personales masivos y palancas para el fraude financiero. Que el fallo se explotara antes del parche obliga a las organizaciones a asumir que pudieron ser alcanzadas antes incluso de poder defenderse.

Las aplicaciones empresariales heredadas como PeopleSoft —potentes, complejas y difíciles de actualizar— son un objetivo de alto valor: concentran datos sensibles y suelen arrastrar años de configuraciones acumuladas que amplian su superficie de ataque.

El software empresarial heredado es el tesoro peor defendido del mundo corporativo: concentra lo más valioso —nóminas, finanzas, identidades— en sistemas que nadie se atreve a tocar por miedo a romperlos. La señal real es el «zero-day»: fue explotado antes del parche, lo que significa que la pregunta para las víctimas no es si actualizar, sino si ya entraron. Estos ERPs son demasiado grandes para caer y demasiado críticos para reiniciar, y esa parálisis es justo lo que los convierte en blanco. Mientras actualizar un sistema central siga siendo un proyecto de meses, el atacante seguirá teniendo la ventana abierta.