- Se identificaron dos vulnerabilidades críticas zero-day en SharePoint Server local.
- Más de 50 organizaciones ya han sido afectadas, incluyendo agencias gubernamentales y empresas.
- Microsoft lanzó parches de emergencia y recomienda acciones adicionales de seguridad.
- Expertos advierten la necesidad urgente de actualizar y extremar precauciones.
Las recientes vulnerabilidades en servidores de Microsoft SharePoint han desencadenado una escalada de incidentes de seguridad que han impactado a numerosas organizaciones alrededor del mundo. En el mes de julio, diversos intentos de ataques a servidores empresariales y gubernamentales fueron detectados tras la aparición de dos fallos críticos en SharePoint Server, clasificados como zero-day, que no contaban con solución inmediata en el momento de su descubrimiento.
Este escenario ha llevado a que centros de datos, universidades, agencias de gobierno y compañías energéticas de diferentes países se vieran comprometidos o en serio riesgo. La creciente preocupación por la exposición de información sensible y la posibilidad de robos de datos confidenciales, así como de manipulación de credenciales, ha impulsado rápidas actuaciones tanto por parte de Microsoft como de las entidades de ciberseguridad.
Detalles de las vulnerabilidades y alcance del ataque
Las dos vulnerabilidades, denominadas CVE-2025-53770 y CVE-2025-53771, afectan a SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016. Es destacable que estas brechas sólo afectan a implementaciones locales, por lo que las organizaciones que utilizan SharePoint Online, dentro de Microsoft 365, no se han visto impactadas.
Origen y respuesta de Microsoft ante la crisis
El desencadenante de esta situación se remonta a un concurso de hacking celebrado en Berlín durante el mes de mayo, donde se identificaron originalmente estos fallos a través de pruebas de concepto presentadas por expertos en seguridad. A pesar de los parches lanzados por Microsoft tras la detección, la primera actualización no logró cubrir completamente las vulnerabilidades, lo que permitió que durante varios días los sistemas siguieran expuestos.
Después de observase una ola de ataques globales, Microsoft emitió rápidamente una actualización de emergencia para corregir ambas debilidades. Sin embargo, los incidentes demostraron que algunos hackers consiguieron superar las protecciones, lo que obligó a la compañía a solicitar a los administradores que revisaran cuidadosamente la versión de SharePoint instalada y aseguraran su soporte. Se recomendaron también acciones como la rotación de “machine keys” de ASP.NET y el reinicio del servicio IIS en los servidores afectados, para dificultar la persistencia de los atacantes.
Implicaciones internacionales y actores implicados
Las investigaciones apuntan a que al menos tres grupos de hackers, algunos vinculados a agencias estatales chinas, han aprovechado activamente estos fallos para infiltrarse en organizaciones gubernamentales en Europa, Estados Unidos, Oriente Medio y Asia. Entre las víctimas confirmadas se encuentran entidades del Departamento de Educación, Departamentos de Hacienda, empresas de energía, consultorías y universidades, sumando más de 100 servidores comprometidos en todo el mundo.
Expertos como los de ESET, CrowdStrike y Mandiant han corroborado la participación de actores avanzados en los ataques, denominando a la campaña “ToolShell”, la cual busca explotar este tipo de vulnerabilidades para mantener acceso continuado y, potencialmente, llevar a cabo operaciones de espionaje.
Medidas de mitigación y recomendaciones de los expertos
En vista de este panorama, Microsoft y las principales firmas de ciberseguridad coinciden en la importancia de aplicar urgentemente las actualizaciones de seguridad proporcionadas. También aconsejan:
- Revisar la compatibilidad y estado de soporte técnico de la versión de SharePoint instalada.
- para cerrar las brechas.
- vinculadas a los servidores SharePoint.
- Reiniciar servicios como IIS para eliminar posibles accesos persistentes.
- Implementar doble factor de autenticación en todos los accesos posibles.
- Utilizar soluciones de seguridad avanzadas que detecten y neutralicen amenazas emergentes.
Estas acciones son esenciales, ya que los ataques evolucionan rápidamente, especialmente con vulnerabilidades de “día cero” que pueden ser explotadas antes de que la comunidad aplique los parches correspondientes.
La ocurrencia de este incidente en los servidores de Microsoft SharePoint subraya la necesidad de actuar de manera preventiva y con agilidad ante los retos de ciberseguridad. Mantener los sistemas actualizados, aplicar las recomendaciones de seguridad y estar alerta ante nuevas amenazas resulta fundamental para proteger la integridad de la información y los recursos en el entorno digital actual.