Microsoft advirtió recientemente sobre una falla crítica en SharePoint, su herramienta ampliamente utilizada para compartir documentos en empresas, lo que generó preocupación por la exposición de datos sensibles en entornos corporativos complejos.
La compañía también identificó a tres grupos de ciberatacantes relacionados con China, que estarían enfocando sus ataques contra organismos gubernamentales, universidades reconocidas y empresas del sector energético.
Grave vulnerabilidad en SharePoint Server expone datos
SharePoint Server es la plataforma de Microsoft destinada a la gestión documental y colaboración interna, muy usada por empresas gracias a su integración directa con Outlook, Teams y Office, lo que la vuelve prácticamente imprescindible.
La campaña de explotación, conocida como ToolShell, permite eludir controles de permisos y ejecutar código de manera remota en sistemas vulnerables, lo que representa un riesgo técnico severo clasificado con un nivel de 9.8 sobre 10.
Este fallo afecta exclusivamente a servidores instalados localmente en entornos corporativos, mientras que los sistemas basados en la nube de Microsoft, como Microsoft 365, no han sido comprometidos ni presentan vulnerabilidad alguna por el momento.
Según reportó el Washington Post, el ataque impactó a entidades gubernamentales, incluyendo al Departamento de Seguridad de Estados Unidos, y se estima que más de 400 empresas privadas ya fueron también afectadas.
Estas intrusiones permiten robar datos sensibles, interceptar contraseñas y facilitar accesos futuros a sistemas protegidos, generando consecuencias duraderas para las organizaciones víctimas del ataque, muchas de ellas sin detectar aún la brecha.
"La reciente violación de los sistemas de varios gobiernos, incluida la Administración Nacional de Seguridad Nuclear de EE.UU., derivada de una vulnerabilidad de Microsoft, es otro recordatorio urgente de lo que está en juego" explicó Bob Huber, Presidente del Sector Público de Tenable.
"No se trata de un único fallo, sino de cómo actores sofisticados aprovechan estas brechas para obtener beneficios a largo plazo", agregó Huber.
Los grupos chinos detrás del ataque a SharePoint
Los APT (Advanced Persistent Threats) son ciberataques sofisticados y persistentes ejecutados por grupos altamente capacitados, muchas veces con apoyo estatal, que seleccionan objetivos específicos para robar información sensible manteniéndose ocultos por largos períodos.
A diferencia de ataques masivos que se difunden al azar, estas amenazas adaptan sus tácticas a cada entorno, logrando infiltrar sistemas críticos con precisión quirúrgica y generando daños silenciosos, profundos y difíciles de rastrear a tiempo.
"La atribución de ciberataques es una tarea compleja, y muchas veces incierta. Los gobiernos rara vez reconocen su participación en operaciones de hackeo," explicó Timo Steffens, especialista en ciberespionaje.
"Sin embargo, sigue siendo importante intentar determinar su origen. Saber quién atacó no es solo una cuestión de curiosidad: también ayuda a entender por qué se eligió un blanco específico y si puede haber nuevos incidentes similares," añadió.
Microsoft señaló que tres grupos chinos estarían detrás del ataque a SharePoint: Linen Typhoon, Violet Typhoon y Storm-2603, todos conocidos por anteriores campañas de ciberespionaje y, en algunos casos, por el uso de ransomware.
Los atacantes utilizaron dos vulnerabilidades descubiertas durante la conferencia Pwn2Own en Berlín y una tercera brecha, que comenzó a explotarse en mayo, y aunque parecía nueva, ya era conocida por algunos actores.
"Los grupos chinos que presuntamente están detrás de este ataque son conocidos por utilizar credenciales robadas para establecer backdoors persistentes. Esto significa que pueden permanecer ocultos dentro de una red. Para cuando una organización ve pruebas de una nueva intrusión, el daño ya está hecho," explicó Bob Huber.
"En el caso del software local como SharePoint, existen múltiples puntos de exposición que deben supervisarse continuamente para conocer, exponer y cerrar brechas críticas en las ciberdefensas", concluyó Huber.
Microsoft y la complejidad de la ciberseguridad
Microsoft no solo desarrolla software popular como Windows y Office, sino que también es un actor clave en la ciberseguridad global, lo que genera riesgos particulares cuando sus sistemas son vulnerados, según Bob Huber.
"Para complicar aún más las cosas, muchos clientes utilizan los productos de seguridad de Microsoft para proteger el software de Microsoft, lo que crea un punto único de fallo masivo cuando se producen este tipo de violación de credenciales", afirmó Huber.
Atribuir ataques cibernéticos es un proceso complejo que requiere investigación prolongada, y es más correcto señalar que los responsables responden a intereses de China, en lugar de llamarlos simplemente "chinos", aclaran los especialistas.
"La atribución permite ajustar las estrategias según el tipo de adversario. No es lo mismo enfrentar a un grupo criminal que a una agencia estatal. Para gobiernos, empresas y defensores de la ciberseguridad, saber quién ataca también sirve para decidir cuánto invertir en protegerse", explicó Timo Steffens.
En respuesta, Microsoft lanzó un parche que activó a equipos de seguridad informática en todo el mundo, trabajando para contener y mitigar el impacto de la vulnerabilidad en múltiples organizaciones públicas y privadas.
