Una oleada de ataques de día cero pone en jaque a un centenar de organizaciones con servidores autoalojados en Microsoft SharePoint.
Una operación de ciberespionaje aprovechó una vulnerabilidad de día cero en servidores autoalojados de Microsoft SharePoint y comprometió a unas cien organizaciones durante los días 18, 19 y 20 de julio de 2025, según los investigadores que destaparon la campaña. La compañía Microsoft lanzó el día 19 una alerta sobre «ataques activos» contra esos servidores, aunque las versiones alojadas por la propia compañía no resultaron afectadas.
La brecha, descubierta cuando Eye Security investigaba la intrusión en un cliente, permite a los atacantes penetrar en los sistemas y plantar puertas traseras duraderas. Su responsable de ciberdelincuencia, Vaisha Bernard, subrayó la gravedad: «Es inequívoco», dijo, antes de preguntarse: «Quién sabe lo que otros adversarios han hecho desde entonces para colocar otras puertas traseras». Un escaneo conjunto con la Fundación Shadowserver contabilizó casi un centenar de víctimas antes de que la técnica se divulgara públicamente.
➡️ Te puede interesar: Máster Profesional en Ciberseguridad, Ciberinteligencia y Ciberdefensa
Shadowserver confirmó esa cifra y precisó que la mayoría de los afectados se encuentra en Estados Unidos y Alemania. Según Rafe Pilling, director de Inteligencia de Amenazas de Sophos, el espionaje parece obra «de un solo ciberdelincuente o un conjunto de ellos», aunque advirtió que «es posible que esto cambie rápidamente». Google, que observa grandes volúmenes de tráfico, atribuyó al menos parte de la actividad a un «actor de amenazas nexo con China». Por su parte, la embajada china en Washington no respondió y Pekín rechaza habitualmente esas acusaciones.
Para contener el ataque, Microsoft afirma haber publicado actualizaciones de seguridad y «alienta a los clientes a instalarlas». El FBI indicó que está al tanto del caso y coopera con socios federales y del sector privado, mientras que el Centro Nacional de Seguridad Cibernética británico reconoció «un número limitado» de objetivos en el Reino Unido. Aun así, el conjunto de servidores potencialmente expuestos es grande. El motor de búsqueda Shodan identificó más de 8.000 servidores vulnerables en línea y Shadowserver eleva la cuenta a algo más de 9.000, entre ellas empresas industriales, bancos, auditoras, proveedores sanitarios y varias entidades gubernamentales internacionales y estatales.
«El incidente de SharePoint parece haber creado un amplio nivel de compromiso en una amplia gama de servidores a nivel mundial», afirmó Daniel Card, de la consultora PwnDefend, antes de advertir de que «adoptar un enfoque de violación asumido es sabio, y también es importante comprender que solo aplicar el parche no es todo lo que se requiere aquí».
➡️ Si quieres adentrarte en la Ciberseguridad y adquirir habilidades profesionales, te recomendamos los siguientes programas formativos:
