Un grupo de hackers explotó una falla crítica en los servidores SharePoint de Microsoft para infiltrarse en redes gubernamentales y empresas de Estados Unidos, Europa y Asia.
El gobierno estadounidense, junto con sus pares de Canadá y Australia, ya está investigando el incidente, mientras que expertos del sector privado alertan que decenas de miles de servidores podrían estar en riesgo.
Lo preocupante es que Microsoft todavía no lanzó un parche para corregir la falla, lo que deja a las organizaciones comprometidas con pocas herramientas de defensa.
"Cualquiera que tenga un servidor SharePoint alojado tiene un problema", explicó Adam Meyers, vicepresidente senior de CrowdStrike.
El FBI, por su parte, confirmó que está trabajando en coordinación con agencias gubernamentales y compañías tecnológicas.
Este tipo de ataque, conocido como "día cero", se caracteriza por explotar vulnerabilidades previamente desconocidas, y representa otro golpe a la seguridad digital de Microsoft.
Todavía no se determinó quién está detrás del ataque, que tuvo un alcance global, ni cuál es su motivación. Sin embargo, los hackers apuntaron a una amplia gama de objetivos como:
En 2023, la compañía ya había sido criticada por permitir un hackeo que comprometió los correos electrónicos de altos funcionarios del gobierno estadounidense, entre ellos los de la entonces secretaria de Comercio, Gina Raimondo.
Según Microsoft, el ataque afecta únicamente a servidores que están alojados localmente, no a los que operan en la nube como Microsoft 365.
Como medida inmediata, la empresa recomendó a sus clientes modificar la configuración de los servidores o desconectarlos de internet para contener la intrusión. Aunque se envió una alerta a los usuarios, no hubo declaraciones públicas adicionales.
Pete Renals, gerente senior de la unidad 42 de Palo Alto Networks, confirmó que ya se detectaron intentos de explotar miles de servidores en todo el mundo y que tanto organizaciones públicas como privadas fueron alcanzadas. "Hemos identificado decenas de organizaciones comprometidas".
Por su parte, desde la empresa de ciberseguridad Eye Security, en Países Bajos, explicaron que los atacantes pueden obtener contraseñas y robar datos sensibles, ya que los servidores vulnerables suelen estar integrados a otros servicios como Outlook y Teams.
Lo más alarmante, según los especialistas, es que lograron obtener claves criptográficas que podrían permitirles ingresar nuevamente incluso después de que el sistema sea actualizado.
Uno de los episodios más preocupantes ocurrió en una agencia estatal estadounidense, donde los atacantes tomaron control de un repositorio público de documentos informativos.
En Arizona, equipos de ciberseguridad se reunieron con autoridades estatales, locales y tribales para compartir información y evaluar sus sistemas. "Definitivamente hay una carrera frenética en todo el país en este momento", explicó una fuente vinculada con el operativo.
El ataque ocurre poco después de que Microsoft corrigiera otra falla de seguridad este mes. Según la Agencia de Ciberseguridad e Infraestructura (CISA), los piratas aprovecharon una vulnerabilidad similar que aún no había sido solucionada.
Marci McCarthy, vocera de CISA, informó que una firma de investigación alertó a la agencia el viernes y que Microsoft fue notificada de inmediato.
Microsoft anunció que dejará de emplear ingenieros radicados en China para dar soporte a los servicios en la nube del Departamento de Defensa.
La decisión se conoció tras un informe de ProPublica que reveló esa práctica y llevó al secretario de Defensa, Pete Hegseth, a ordenar una revisión de los contratos tecnológicos del Pentágono.
Desde el Centro para la Seguridad de Internet, una organización que colabora con gobiernos estatales y locales, se informó que cerca de 100 instituciones fueron alertadas sobre la posibilidad de haber sido comprometidas, incluyendo escuelas públicas y universidades.
El operativo de notificación -que tomó seis horas el sábado a la noche- fue más lento de lo habitual debido a la reducción del 65 % del personal de respuesta tras recortes presupuestarios en CISA. Esta división del Departamento de Seguridad Nacional es la encargada de proteger infraestructuras críticas contra ciberamenazas.