España, al igual que otros países, se enfrenta a amenazas cibernéticas de distinta índole, incluyendo hackers chinos de gran peligro o vulnerabilidades peligrosísimas. Muestra de ello es la vulnerabilidad que hackers han aprovechado para atacar servidores de empresas y agencias a nivel mundial.

Es lo que ha ocurrido con SharePoint, un servicio colaborativo de Microsoft que sirve para administrar, compartir y editar documentos. Una vulnerabilidad descubierta por los investigadores de Eye Security que ha hecho mover ficha a numerosas agencias gubernamentales.

La propia Microsoft ha reconocido en una alerta que esta vulnerabilidad zero-day ya ha sido activamente utilizada, permitiendo a los atacantes acceder a ciertas versiones locales de SharePoint y robar datos confidenciales e incluso acceder a las redes comprometidas.

Esta vulnerabilidad de Microsoft ha sido aprovechada

Tal y como adelanta el The Washington Post, los atacantes aprovecharon una importante brecha de seguridad en el software del servidor de SharePoint, con el objetivo de atacar agencias gubernamentales y empresas de países como Estados Unidos.

En concreto, se ha detectado cómo se habría usado la vulnerabilidad CVE-2025-53770, caracterizada como una vulnerabilidad zero-day. Esto implica que la brecha era totalmente desconocida y por ende no ha dado tiempo a parchearla antes de ser aprovechada.

EyePoint avisa que esta vulnerabilidad ha sido utilizada de forma activa para atacar servidores locales de SharePoint en todo el mundo, afectando decenas de miles de servidores de forma potencial ubicados en entidades con información sensible.

El hallazgo publicado el pasado 18 de julio llevó a que 24 horas después el Centro de Respuesta de Seguridad de Microsoft (MSRC) emitiera el aviso oficial, confirmando la existencia de parches disponibles para "un conjunto limitado de versiones de SharePoint Server".

A grandes rasgos, CVE-2025-53770 permite a los hackers acceder a versiones locales de SharePoint y robar las credenciales necesarias para suplantar la identidad de usuarios o servicios compatibles y autorizados, incluso después de actualizar o reiniciar el servidor.

Con el exploit, los atacantes pueden robar datos de todo tipo, incluyendo contraseñas y datos confidenciales. Hasta pueden moverse por la red del servicio usando servicios de la suite de SharePoint, como serían Microsoft Teams, OneDrive u Outlook.

Los atacantes están saltándose los controles de identidad (incluyendo los sistemas de autenticación multifactor e inicio de sesión único) para conseguir privilegios. Dentro de la red, despliegan puertas traseras y roban claves criptográficas.

No es en absoluto baladí ya que los mismos investigadores de Eye Security aclaran que debido a que los hackers pueden seguir suplantando estas identidades en los servidores tras sus reinicios o actualizaciones, estos se convierten en puntos de riesgo.

Eso sí, cabe aclarar que hablamos de los servidores locales, y no de sus versiones en la nube; estas no sufren estos problemas y por ende no representan un riesgo real para las empresas y entidades que las usan.

Un problema a nivel mundial

La magnitud del problema es tal que tanto el gobierno de los Estados Unidos como el de Australia están activamente investigando esta vulnerabilidad, ante la idea de que miles de servidores con datos confidenciales se vean comprometidos.

Tanto es así, que incluso el FBI ha detallado estar pendiente de la evolución del problema, aclaró el The Washington Post. Adam Meyers, vicepresidente sénior de CrowdStrike (famosa por el suceso de la caída a nivel mundial), ha asegurado que esta "es una vulnerabilidad importante".

La división Unit 42 de Palo Alto Networks, afianza esta idea y pone de manifiesto su problemática. Michael Sikorski, CTO y Jef de Inteligencia de Amenazas de Unit 42, lo deja claro en sus declaraciones.

Según Sikorski, aunque los entornos en la nube no están afectados, los "despliegues locales de SharePoint -especialmente en organismos gubernamentales, instituciones educativas, organizaciones sanitarias (incluidos hospitales) y grandes empresas- están en riesgo".

De hecho, el CTO va mucho más allá. "Si cuentas con un servidor SharePoint local expuesto a Internet, en este momento debes asumir que has sido comprometido", apostilla Sikorski. Además, añade que el aplicar parches por sí mismo ni siquiera es suficiente.

A ojos de Palo Alto Networks, lo preocupante radica en la profunda integración que SharePoint tiene con las plataformas de Microsoft como Outlook, OneDrive o Teams, los cuales usualmente albergan información importante para los atacantes.

La firma recomienda a todas las organizaciones que operan uno de estos servidores que apliquen todos los parches relevantes hasta el momento y que roten todo el material criptográfico. Tampoco descartan la desconexión total del servidor.

Así lo relata Sikorski. "Una solución inmediata, aunque temporal, sería desconectar su Microsoft Sharepoint de Internet hasta que haya un parche disponible. Una falsa sensación de seguridad podría resultar en una exposición prolongada y una intrusión generalizada".

No debemos olvidar que la propia naturaleza del ataque supone un problema, ya que los atacantes han conseguido unas claves que podrían usar para conseguir acceso incluso después de aplicar parches a los sistemas.

Así, según expone un investigador anónimo citado por diversos medios, la idea de lanzar parches "el lunes o martes no ayuda a nadie que haya sido comprometido en las últimas 72 horas". No se sabe quiénes están detrás de la incidencia.

Por el momento, está por ver el alcance real de la brecha de ciberseguridad. El The Washington Post aclara que al menos dos agencias federales de Estados Unidos se han visto afectados, con repositorios de documentos públicos ya robados en el proceso.