Falla crítica en SharePoint: cómo hackers chinos están explotando una vulnerabilidad día cero
Ciberseguridad empresarial en jaque: una nueva vulnerabilidad crítica en Microsoft SharePoint está siendo explotada activamente por grupos de ciberespionaje vinculados al gobierno chino.
Tanto Microsoft como Google, dos gigantes tecnológicos con avanzadas divisiones de inteligencia en seguridad informática, han confirmado la existencia de un fallo de tipo día cero —aún sin detección previa ni parche en el momento del ataque— en SharePoint, la popular plataforma empresarial de colaboración y gestión documental.
El error, clasificado oficialmente como CVE-2025-53770, representa un riesgo mayúsculo para miles de organizaciones a nivel mundial, especialmente aquellas que operan instancias autoalojadas de SharePoint. Esta modalidad de implementación, aunque más flexible, también suele ser más vulnerable si no se gestiona correctamente.
🔍 ¿Qué permite esta vulnerabilidad?
La falla permite a atacantes remotos robar claves privadas confidenciales, instalar malware personalizado e infiltrarse en redes corporativas para exfiltrar información estratégica. Todo ello sin interacción del usuario, lo que lo convierte en un ataque especialmente sigiloso y peligroso.
Una vez que los sistemas son comprometidos, los ciberdelincuentes pueden moverse lateralmente dentro de la red, accediendo a bases de datos sensibles, archivos internos y credenciales de otros sistemas conectados.
🕵️ Grupos APT detrás del ataque: Linen, Violet y Storm
Microsoft ha identificado al menos tres actores de amenazas persistentes avanzadas (APT) asociados con China que están explotando activamente esta vulnerabilidad:
1. Linen Typhoon: centrado en el robo de propiedad intelectual y secretos corporativos.
2. Violet Typhoon: especializado en ciberespionaje, con objetivos relacionados con gobiernos y empresas tecnológicas.
3. Storm-2603: un grupo menos conocido, con historial en campañas de ransomware.
Todos estos grupos comenzaron a explotar la vulnerabilidad desde el 7 de julio, según el equipo de inteligencia de Microsoft Threat Intelligence.
💬 Google también lo confirma: múltiples actores están involucrados
Por su parte, Charles Carmakal, CTO de Mandiant (unidad de Google Cloud), advirtió que más de un grupo con vínculos chinos está involucrado en esta campaña. “Varios actores están explotando activamente esta vulnerabilidad”, señaló Carmakal en declaraciones a medios especializados.
Aunque no todas las víctimas han sido identificadas, ya se han reportado ataques exitosos contra decenas de organizaciones, incluyendo entidades del sector público y empresas tecnológicas.
🔧 ¿Qué deben hacer las empresas ahora?
Microsoft ya ha lanzado actualizaciones de seguridad urgentes para todas las versiones afectadas de SharePoint. Sin embargo, la advertencia es clara: las organizaciones que operan instancias autoalojadas deben asumir que ya han sido comprometidas, especialmente si no han aplicado el parche de inmediato.
Se recomienda:
- Auditar todos los sistemas que interactúan con SharePoint.
- Monitorizar actividades inusuales en redes y bases de datos.
- Actualizar urgentemente a la versión más reciente del software.
- Revisar los registros de acceso desde el 7 de julio en adelante.
🌐 Contexto geopolítico: un patrón que se repite
El gobierno chino ha negado sistemáticamente su participación en campañas de ciber espionaje. En respuesta a estas nuevas acusaciones, un portavoz de la Embajada de China en EE. UU. reiteró que el país "se opone firmemente y combate todas las formas de ciberataques y ciberdelitos".
Sin embargo, este incidente recuerda otros ataques atribuidos a grupos chinos, como la campaña Hafnium de 2021, que afectó a más de 60.000 servidores de Microsoft Exchange en todo el mundo.
No hay comentarios:
Publicar un comentario
Comenta aquí