Microsoft anunció a finales de semana que un grupo de hackers ha estado explotando activamente una vulnerabilidad en su software de intercambio de archivos SharePoint. Según un comunicado de Palo Alto Networks, el hecho de que SharePoint se integre con otras plataformas de Microsoft como Office, Teams, OneDrive y Outlook amplifica el alcance del impacto.
Detalle del fallo técnico y su explotación
El error, catalogado como CVE‑2025‑53770 (y relacionado con otros como CVE‑2025‑49704, CVE‑2025‑49706 y CVE‑2025‑53771), permite la ejecución remota de código sin necesidad de autenticación en servidores SharePoint instalados localmente, es decir, on‑premise.
El inicio de los ataques se ubica alrededor del 18 de julio de 2025. Eye Security y la Fundación Shadowserver aseguraron que más de 8.000 servidores han sido escaneados y decenas ya comprometidos. Según Reuters, unas 100 organizaciones, incluyendo agencias gubernamentales de EE. UU. y Alemania, se han visto afectadas.
Durante el ataque, los intrusos robaron claves criptográficas, instalaron puertas traseras persistentes y accedieron a sistemas internos, lo que les permitiría mantener control sobre servidores incluso tras aplicar parches.
Ámbitos afectados y actores detrás
Las redes comprometidas incluyen agencias gubernamentales y entidades como universidades, hospitales, empresas energéticas y bancos, principalmente en EE. UU., Alemania, Francia, Australia, España y Brasil.
Google Mandiant y Palo Alto Networks vinculan al menos a un grupo con conexiones a China. Expertos advierten que, aunque los parches estén disponibles, podrían estar en marcha nuevas campañas de explotación.
Respuesta de Microsoft y recomendaciones
El fin de semana, Microsoft lanzó parches de emergencia para SharePoint Subscription Edition y SharePoint 2019, con actualizaciones para SharePoint 2016 todavía en desarrollo.
Asimismo, la firma aconseja:
- Desconectar de internet los servidores afectados hasta que se apliquen los parches.
- Activar Antimalware Scan Interface (AMSI) y Microsoft Defender para Endpoint.
- Rotar claves criptográficas.
- Contratar servicios de respuesta forense profesional.
La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA), la policía federal estadounidense (FBI) y otros organismos internacionales están implicados en el seguimiento de la campaña.
Antecedentes y consecuencias internas
Este incidente se suma a una serie de brechas previas: en 2023 un ataque atribuido a China comprometió cuentas oficiales estadounidenses; en 2024 un ataque ruso afectó a clientes gubernamentales. Tras estos episodios, Microsoft vinculó un tercio de las primas de sus altos directivos a la mejora de la seguridad, y recortó el bono en efectivo del CEO Satya Nadella en 50 % (5,2 M USD) por el ejercicio fiscal 2024, aunque su retribución total fue de 79 M USD.
Fuentes internas señalan posibles barreras culturales en la adopción ágil de medidas preventivas, pese a la incorporación del ex‑directivo de Amazon Charlie Bell en 2021 para supervisar ciberseguridad.
Microsoft como objetivo por su tamaño
Especialistas en seguridad subrayan que el uso masivo de Microsoft en entornos empresariales convierte sus plataformas en objetivos predilectos. Así, incluso con altos estándares, la magnitud de la infraestructura hace casi inevitables este tipo de ataques.
Panorama actual y desafíos para Microsoft
Los recientes incidentes demuestran una amenaza persistente y en evolución contra Microsoft SharePoint on‑premise. La urgencia de aplicar parches, aislar sistemas expuestos y auditar exhaustivamente las instalaciones es clave para contener los efectos.
A medida que se sucedan más actualizaciones, la compañía deberá demostrar que ha dominado no solo la solución técnica de este fallo, sino también que ha reforzado sus mecanismos internos de prevención y respuesta ante vulnerabilidades críticas.
