El gobierno de Estados Unidos y expertos en ciberseguridad han confirmado que una nueva vulnerabilidad descubierta en Microsoft SharePoint está siendo activamente explotada por ciberdelincuentes.

La agencia federal de ciberseguridad CISA emitió una alerta este fin de semana informando que atacantes están aprovechando esta falla, mientras que Microsoft aún no ha lanzado parches para todas las versiones afectadas de SharePoint, dejando a muchas organizaciones en todo el mundo sin defensa frente a los ataques en curso.

Esta vulnerabilidad, identificada como CVE-2025-53770, afecta a las versiones locales (on-premise) de SharePoint que las empresas instalan y gestionan en sus propios servidores. SharePoint es utilizado comúnmente por organizaciones para almacenar, compartir y administrar archivos internos.

Microsoft ha declarado que ya está trabajando en soluciones de seguridad para mitigar esta falla. Se trata de una vulnerabilidad del tipo “zero-day”, lo que significa que fue descubierta y explotada antes de que Microsoft pudiera desarrollar un parche, y afecta incluso a versiones antiguas como SharePoint Server 2016.

Aunque aún no se conoce con precisión cuántos servidores han sido comprometidos, se estima que miles de pequeñas y medianas empresas que utilizan este software podrían verse afectadas. De acuerdo con The Washington Post, ya se han reportado brechas en agencias federales, universidades y compañías del sector energético en Estados Unidos.

La empresa de ciberseguridad Eye Security, que descubrió y reportó públicamente la falla el sábado, indicó haber encontrado docenas de servidores SharePoint comprometidos disponibles en línea. La vulnerabilidad permite a los atacantes robar claves digitales privadas desde los servidores sin necesidad de autenticación. Con estas claves, los atacantes pueden instalar malware a distancia y acceder a los archivos y datos almacenados.

Además, Eye Security advirtió que, dado que SharePoint se integra con otras aplicaciones como Outlook, Teams y OneDrive, es posible que los atacantes amplíen su alcance y roben aún más información sensible dentro de la red.

Debido a que el ataque implica la suplantación de solicitudes legítimas mediante claves robadas, se recomienda que los clientes no solo apliquen los parches tan pronto como estén disponibles, sino que también roten sus claves digitales comprometidas para evitar nuevos accesos no autorizados.

CISA y otras organizaciones han instado a las empresas afectadas a actuar de inmediato. En ausencia de parches disponibles, se sugiere desconectar de internet los sistemas potencialmente vulnerables.

“Si tienes un servidor de SharePoint local expuesto a internet, debes asumir que ya fue comprometido”, advirtió Michael Sikorski, director de inteligencia de amenazas en Palo Alto Networks Unit 42, en un correo enviado a TechCrunch.

Aún no se sabe quiénes están detrás de estos ataques, pero este es el último de una serie de ciberataques dirigidos contra tecnologías de Microsoft en los últimos años.

En 2021, el grupo de hackers Hafnium —respaldado por el gobierno chino— fue detectado explotando una vulnerabilidad en los servidores Microsoft Exchange autogestionados, afectando a más de 60,000 empresas en todo el mundo.

Dos años después, Microsoft confirmó otro ataque, esta vez a sus propios sistemas en la nube, en el que hackers chinos robaron una clave de firma de correos electrónicos, permitiendo el acceso a cuentas empresariales y de consumidores.

Microsoft también ha reportado múltiples intrusiones vinculadas a actores respaldados por el gobierno ruso.

Fuente: https://techcrunch.com/2025/07/21/new-zero-day-bug-in-microsoft-sharepoint-under-widespread-attack/