- Dos vulnerabilidades zero-day en SharePoint Server han permitido ataques masivos en todo el mundo.
- Microsoft publicó parches, pero la solución inicial no detuvo por completo la amenaza.
- Solo las versiones locales (no cloud) de SharePoint resultaron afectadas, destacando la gravedad para infraestructuras críticas y agencias gubernamentales.
- Recomiendan actualizar urgentemente, revisar configuraciones de seguridad y aplicar mitigaciones adicionales.
En las últimas semanas, decenas de organizaciones y agencias gubernamentales han visto comprometida su seguridad a raíz de dos nuevas vulnerabilidades críticas en servidores SharePoint, el popular software de colaboración empresarial de Microsoft. Estos fallos, identificados como zero-day y explotados activamente desde principios de julio, han desencadenado una crisis global en el sector tecnológico y de ciberseguridad.
La gravedad de la situación reside en que los atacantes han logrado evadir los anteriores parches de seguridad que Microsoft había implementado, abriendo la puerta a ataques sofisticados que afectan directamente a infraestructuras esenciales de empresas y organismos gubernamentales, principalmente en Estados Unidos y Alemania, aunque otras regiones también han sido impactadas.
Origen de las vulnerabilidades y primeros ataques
Todo comenzó cuando, durante un evento de hacking celebrado en Berlín en mayo, un investigador vietnamita demostró la explotación de una vulnerabilidad en SharePoint, apodada “ToolShell”, por la que obtuvo una recompensa de 100.000 dólares. Microsoft fue avisada y se comprometió a solucionar el problema, lanzando un parche a principios de julio.
El problema de fondo, según expertos en ciberseguridad, es que el parche lanzado inicialmente no fue suficiente. A los pocos días, varias compañías de ciberseguridad y agencias nacionales comenzaron a detectar un incremento preocupante de actividad maliciosa. Se estima que más de 9.000 servidores SharePoint habrían estado expuestos, afectando a sectores tan críticos como auditoría, banca, sanidad, industria y entidades estatales.
Impacto y alcance de los ataques
Estas vulnerabilidades, catalogadas como CVE-2025-53770 y CVE-2025-53771, afectan a las versiones SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016. Es importante destacar que la versión cloud SharePoint 365 no se ha visto afectada, limitándose el riesgo a infraestructuras locales.
La explotación de estas fallas permite la ejecución remota de código sin autenticación, ofreciendo a los atacantes control total sobre los servidores comprometidos. Investigadores afirman que los cibercriminales han llegado a extraer claves criptográficas, instalar malware y backdoors, e incluso mantener el acceso a los sistemas tras reinicios o aplicaciones de parches.
¿Quién está detrás y cuáles son las motivaciones?
Según información proporcionada por Microsoft y confirmada por Google Cloud, los principales grupos de hackers implicados estarían vinculados a operaciones estatales chinas, concretamente “Linen Typhoon”, “Violet Typhoon” y “Storm-2603”. No obstante, las autoridades chinas han negado cualquier implicación y han acusado a Occidente de falta de pruebas sólidas.
Los atacantes tienen la capacidad no solo de acceder y robar información sensible, sino también de desplegar ataques de espionaje y sabotaje persistente, suponiendo un riesgo mayor para infraestructuras críticas y la privacidad de millones de usuarios.
Respuestas de Microsoft y recomendaciones de seguridad
Microsoft ha lanzado nuevas actualizaciones de emergencia para SharePoint Subscription Edition y SharePoint 2019, continuando el desarrollo de una solución definitiva para SharePoint 2016. La multinacional recomienda a los administradores:
- Actualizar urgentemente todos los servidores afectados para cerrar las brechas detectadas.
- Comprobar las versiones instaladas y asegurarse de que cuentan con soporte oficial.
- Realizar rotación de claves de cifrado (machine keys ASP.NET) y reiniciar los servicios IIS en todos los servidores locales.
- Activar herramientas como AMSI (Antimalware Scan Interface) y asegurarse de contar con un buen antivirus actualizado.
- Desconectar temporalmente los servidores más expuestos o críticos si no es posible aplicar los parches de inmediato.
Agencias como CISA han ido más allá, instando a todas las entidades federales estadounidenses a aplicar los parches antes del 23 de julio, dada la gravedad del riesgo y la facilidad de explotación de las vulnerabilidades.
Un panorama de alerta máxima para la ciberseguridad
Este incidente ha reavivado el debate sobre la gestión de la seguridad en grandes plataformas empresariales y el tiempo de respuesta de los desarrolladores ante vulnerabilidades críticas. Expertos remarcan que, aunque el ciclo de parches y ataques no es nuevo en SharePoint, la agilidad y coordinación en la respuesta será clave para evitar brechas de consecuencias irreparables.
Asimismo, la situación subraya la importancia de mantener sistemas actualizados y reforzar controles internos en las redes empresariales, así como la vigilancia continua sobre nuevas amenazas y exploits emergentes en el sector TI.
Las organizaciones afectadas ahora enfrentan el desafío de restaurar la confianza en sus sistemas y datos, mientras las investigaciones internacionales para identificar a los responsables continúan abiertas. Microsoft, junto a las principales firmas de ciberseguridad y organismos gubernamentales, sigue trabajando para atajar la brecha y proporcionar las herramientas necesarias para protegerse de futuras amenazas.
