Alerta global por vulnerabilidad crítica en servidores Microsoft SharePoint: hechos, respuestas y reflexión

En la última semana, se confirmó una ola de ataques cibernéticos a escala global que aprovechó una grave vulnerabilidad de día cero en los servidores locales de Microsoft SharePoint. Grupos de atacantes lograron acceder a agencias federales y estatales en Estados Unidos, compañías energéticas, universidades y organismos gubernamentales de Europa, Asia y América Latina.

El ataque fue posible gracias a la explotación de la vulnerabilidad identificada como CVE-2025-53770, clasificada como crítica y con una puntuación CVSS de 9,8 sobre 10, lo que evidencia su alto nivel de riesgo. Esta falla permite a ciberdelincuentes no autenticados ejecutar código de forma remota, otorgándoles control total sobre los servidores afectados. Entre los posibles impactos se destaca el robo de datos confidenciales, el acceso profundo a sistemas internos y la instalación de puertas traseras persistentes.

Alcance y peligrosidad de la falla ToolShell

Esta vulnerabilidad, activa desde el fin de semana del 18 de julio de 2025, afecta a más de 9.000 servidores SharePoint expuestos en el mundo. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) incluyó rápidamente el CVE-2025-53770 en su catálogo de fallos críticos, alertando sobre la amenaza inmediata para organizaciones públicas y privadas.

Skyonline, proveedora de servicios de colocation y nube, remarcó: “No se trata de una posibilidad futura. Está ocurriendo hoy. Y aunque este episodio no impactó a entornos cloud como Microsoft 365, demuestra cuán vulnerable puede ser cualquier infraestructura sin un enfoque estratégico de ciberseguridad”.

Soluciones y respuestas adoptadas

Aunque Microsoft ha emitido respuestas parciales, la vulnerabilidad aún no cuenta con un parche definitivo. Por ahora, las organizaciones afectadas han tenido que aplicar medidas provisionales recomendadas por expertos, como la restricción del acceso externo a los servidores, la actualización inmediata de configuraciones de seguridad, la implementación de monitoreo avanzado y la revisión minuciosa de logs para detectar actividad sospechosa.

Satnam Narang, Ingeniero de Investigación Senior de Tenable, explicó: «La explotación activa de la vulnerabilidad de día cero de SharePoint durante el fin de semana tendrá consecuencias de gran alcance para las organizaciones que se vieron afectadas. Los atacantes fueron capaces de explotar el fallo para robar los detalles de configuración de MachineKey de los servidores SharePoint vulnerables, que incluye tanto una validationKey como una decryptionKey. Estos detalles pueden ser utilizados por los atacantes para crear solicitudes especialmente diseñadas que podrían ser utilizadas para obtener la ejecución remota de código sin autenticación».

«Si bien CVE-2025-53770 es una amenaza global, una confluencia de factores regionales crea un perfil de riesgo especialmente elevado para las organizaciones de América Latina, donde las soluciones empresariales de Microsoft, incluido SharePoint Server local, tienen una presencia profundamente establecida. La rápida pero desigual transformación digital de la región, la disponibilidad de detalles públicos de explotación a partir del 20 de julio, combinada con su condición de objetivo principal de un maduro ecosistema de ciberdelincuencia local, crea un terreno fértil para la explotación donde el impacto de esta vulnerabilidad podría ser particularmente grave», agregó el especialista.

Reflexión final

Este incidente pone en primer plano la importancia de la ciberseguridad proactiva y la necesidad de estrategias robustas para proteger infraestructuras críticas. La velocidad con la que los atacantes explotan vulnerabilidades demuestra que ninguna organización, pública o privada, está exenta de riesgos si no cuenta con controles y planes de respuesta efectivos.

“El reciente ataque contra los servidores SharePoint subraya la urgencia de mantener los sistemas actualizados y aplicar controles de acceso estrictos. No basta con confiar en los parches, es fundamental adoptar una postura integral frente a la gestión de incidentes y la educación de los equipos de TI para anticipar amenazas futuras”, comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de Eset Latinoamérica.

La lección es clara: la transformación digital debe ir acompañada de una cultura de seguridad constante y una vigilancia continua frente a los desafíos del cibercrimen moderno.

Seguiremos informando sobre el tema con el concurso de especialistas de las marcas más prestigiadas en ciberseguridad y hacemos extensiva la invitación a nuestros canales integradores dedicados al rubro para que nos envíen sus diagnósticos y recomendaciones sobre la ocurrencia y el tema integralmente.

Les estaremos informando con mucho más detalle, en el marco del informe especial: “Soluciones y productos de infraestructura para edificios y ciudades inteligentes (Sistemas BIM y BMS), POL (Passive Optical LAN). Seguridad integrada, video vigilancia y control de acceso. Casos de uso y aplicabilidad de cada solución y producto, incluyendo la colaboración digital (relacionado a realidad virtual sistema BIM) (Gemelos digitales). Buenas prácticas ambientales.», que estamos preparando para nuestra edición 216 y publicaremos en el mes de julio.

Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.