Microsoft dio a conocer el fin de semana pasado una vulnerabilidad grave en SharePoint, un servicio muy usado para compartir archivos en entornos empresariales. Además, la compañía apuntó a tres grupos de cibercriminales vinculados a China que estarían atacando entidades de Gobierno, universidades y compañías de energía.
SharePoint Server es la plataforma de colaboración y gestión de documentos de Microsoft diseñada para empresas y organizaciones. Muchas lo usan para la colaboración interna y el almacenamiento de documentos. Su integración con Office, Teams y Outlook (que dominan el entorno empresarial) la vuelve una opción casi obligada para muchas compañías.
Bautizada ToolShell, la campaña de explotación permite eludir permisos y acceder a equipos ajenos (lo que se conoce como “ejecución remota de código” en jerga técnica). Se trata de un fallo de seguridad clasificado con un nivel de severidad de 9.8 sobre 10, que afecta a servidores instalados de forma local. Los sistemas en la nube de Microsoft no se vieron comprometidos.
En un contexto de más ataques en 2025, según reportó el Washington Post, el ataque afectó a entidades gubernamentales como el Departamento de Seguridad de los Estados Unidos y se estima que, al momento de publicación de este artículo, hay más de 400 empresas afectadas. Este tipo de ataques habilitan a robar datos sensibles y contraseñas para ganar accesos a sistemas.
«La reciente violación de los sistemas de varios gobiernos, incluida la Administración Nacional de Seguridad Nuclear de EE.UU., derivada de una vulnerabilidad de Microsoft, es otro recordatorio urgente de lo que está en juego. No se trata de un único fallo, sino de cómo actores sofisticados aprovechan estas brechas para obtener beneficios a largo plazo”, explicó a Clarín Bob Huber, Presidente del Sector Público de Tenable, una compañía de ciberseguridad que se especializa en identificación y gestión de vulnerabilidades.
Detrás del ataque: actores asociados a China
Los grupos que realizan este tipo de ciberataques suelen ser llamados APT. Los APT, sigla de Advanced Persistent Threats (Amenazas Persistentes Avanzadas), son un tipo de ataque informático sofisticado, sostenido en el tiempo y ejecutado por actores con motivaciones estratégicas, muchas veces vinculados a Estados. A diferencia de los ataques masivos o automatizados que suelen ir «a la pesca», un APT elige cuidadosamente a su objetivo y adapta sus tácticas para infiltrarse, mantenerse oculto y robar información sensible.
Atribuir ataques en el mundo de la ciberseguridad no es una tarea simple. “La atribución de ciberataques —es decir, identificar quién está detrás de una agresión digital— es una tarea compleja, y muchas veces incierta. Los gobiernos rara vez reconocen su participación en operaciones de hackeo, y los atacantes suelen borrar sus huellas. Sin embargo, sigue siendo importante intentar determinar su origen. Saber quién atacó no es solo una cuestión de curiosidad: también ayuda a entender por qué se eligió un blanco específico y si puede haber nuevos incidentes similares en el futuro”, explica Timo Steffens, especialista en ciberespionaje en su libro “Attribution of Advanced Persistent Threats”.
Hechas estas aclaraciones, Microsoft apuntó a grupos que están relacionados a China. De acuerdo con la empresa, tres grupos de ciberespionaje vinculados a la República Popular China estarían detrás del ataque. Se trata de Linen Typhoon, Violet Typhoon y Storm-2603, grupos conocidos en el ambiente de la ciberseguridad por campañas previas de intrusión y, en algunos casos, incluso por desplegar ransomware, una amenaza todavía latente.
A nivel técnico, el ataque combina el uso de vulnerabilidades detectadas previamente durante la conferencia Pwn2Own en Berlín con una tercera brecha que comenzó a ser explotada en mayo. Aunque inicialmente se pensó que se trataba de un nuevo «zero-day», especialistas advirtieron que ya era conocida por algunos actores maliciosos.
“Los grupos chinos que presuntamente están detrás de este ataque son conocidos por utilizar credenciales robadas para establecer backdoors persistentes. Esto significa que incluso después de parchear la vulnerabilidad inicial, estos atacantes pueden permanecer ocultos dentro de una red, listos para lanzar futuras campañas de espionaje. Para cuando una organización ve pruebas de una nueva intrusión, el daño ya está hecho”, agrega Huber, quien también es Jefe de Investigación en Tenable.
“Este incidente pone de manifiesto una limitación crítica de la seguridad tradicional y reactiva. Un enfoque preventivo es la única manera de reducir eficazmente el riesgo cibernético frente a amenazas tan persistentes. En el caso del software local como SharePoint, que está profundamente integrado en la pila de identidades de Microsoft, existen múltiples puntos de exposición que deben supervisarse continuamente para conocer, exponer y cerrar brechas críticas en las ciberdefensas”, agrega.
Parche y actualización urgente
Hay un detalle no menor, que señala el especialista, y es que Microsoft es también un actor importante en la industria de la ciberseguridad: lejos quedaron los tiempos en los que era sinónimo de Windows y Office. “Para complicar aún más las cosas, muchos clientes utilizan los productos de seguridad de Microsoft para proteger el software de Microsoft, lo que crea un punto único de fallo masivo cuando se producen este tipo de violación de credenciales”, dice Huber.
Como sea, atribuir ataques requiere investigación a largo plazo y, en rigor, lo más correcto es decir que son actores que responden a los intereses de China, y no “chinos”.
“La atribución permite ajustar las estrategias según el tipo de adversario. No es lo mismo enfrentar a un grupo criminal que a una agencia estatal. Para gobiernos, empresas y defensores de la ciberseguridad, saber quién ataca también sirve para decidir cuánto invertir en protegerse”, agrega en su libro Steffens.
Microsoft lanzó un parche que puso a los equipos de ciberseguridad de distintas empresas y entidades estatales de todo el mundo a trabajar de manera intensa para contener el problema.
Fuente: Clarín