Las lecciones que deja la vulnerabilidad en SharePoint representan una seria advertencia para la ciberseguridad a nivel global

Desde el 7 de julio de 2025, el mundo enfrenta una amenaza crítica: una vulnerabilidad de día cero ha sido detectada en servidores locales de Microsoft SharePoint. Identificada como CVE-2025-53770 y apodada ToolShell, esta falla —con una puntuación CVSS de 9.8— permite a atacantes ejecutar código remoto sin necesidad de autenticación. Como resultado, se comprometen claves criptográficas, se obtiene acceso a información sensible y se facilita la persistencia en los sistemas comprometidos.

La situación se ha agravado con reportes de ataques masivos que afectan a más de 75 organizaciones en diversos sectores, incluyendo agencias gubernamentales de Estados Unidos, empresas tecnológicas, de telecomunicaciones y otras infraestructuras críticas. La vulnerabilidad, una variante de la previamente detectada CVE-2025-49706, parcialmente corregida en julio, está siendo explotada junto con otra falla, CVE-2025-53771, lo que ha intensificado el impacto de los ataques.

Ante este escenario, Microsoft ha emitido parches de seguridad para las versiones SharePoint Server 2019 y Subscription Edition; sin embargo, al momento de redactar este artículo, la versión SharePoint Server 2016 aún no cuenta con una solución definitiva. Mientras trabaja en el parche, la empresa ha recomendado medidas temporales: activar la Antimalware Scan Interface (AMSI), implementar Microsoft Defender Antivirus y desconectar de internet los servidores potencialmente vulnerables.

Los ataques comenzaron incluso antes de que la vulnerabilidad fuera revelada públicamente, lo que indica una campaña avanzada y bien coordinada. Los atacantes han logrado instalar webshells, robar claves criptográficas y mantener acceso persistente a los sistemas, comprometiendo no solo a SharePoint, sino también a servicios interconectados como Microsoft Teams y OneDrive.

Las investigaciones apuntan a grupos de ciberatacantes chinos como los responsables de esta campaña global. Microsoft ha identificado a Linen Typhoon, Violet Typhoon y Storm-2603 como los principales actores detrás de los ataques, dirigidos contra más de 400 organizaciones, incluidas agencias gubernamentales estadounidenses, empresas energéticas, universidades y una empresa de telecomunicaciones en Asia. Los grupos, presuntamente vinculados al gobierno chino, han utilizado las vulnerabilidades para ejecutar código malicioso sin autenticación, instalar webshells y robar credenciales de acceso, manteniendo el control de los sistemas comprometidos. En particular, Storm-2603 ha sido señalado por el despliegue de ransomware, agravando el daño al comprometer datos sensibles y afectar otros servicios de Microsoft.

En México, la situación no es menos alarmante. De acuerdo con estimaciones de la unidad de investigación de SILIKN, aproximadamente 4,200 instancias de SharePoint están expuestas directamente a internet, lo que representa un alto nivel de riesgo. Entre las instituciones mexicanas que podrían verse afectadas se encuentran la Comisión Federal de Electricidad (CFE), la Comisión Nacional Bancaria y de Valores (CNBV), la Fiscalía General de la República (FGR), la Comisión Nacional de Seguros y Fianzas (CNSF), la Secretaría de Turismo (SECTUR) y el Instituto Mexicano de la Propiedad Industrial (IMPI), entre otras.

Si bien hasta ahora no se ha confirmado el uso de ransomware en las dependencias gubernamentales mexicanas, la participación de Storm-2603, conocido por este tipo de ataques, incrementa las preocupaciones. El problema se ve exacerbado por la presencia de sistemas obsoletos y los recortes presupuestales en ciberseguridad. Para 2025, el gasto en esta área se redujo un 1.6%, quedando en 9.3 billones de pesos, lo que deja expuestas a más de mil dependencias gubernamentales, incluyendo al Servicio de Administración Tributaria (SAT) y la Consejería Jurídica del Ejecutivo Federal, esta última víctima de un ataque de ransomware en 2024.

Como proveedor de SharePoint y desarrollador de soluciones de seguridad como Microsoft Defender y Azure Sentinel, Microsoft tiene una responsabilidad crítica frente a este tipo de ataques. La explotación de la vulnerabilidad CVE-2025-53770, relacionada con una falla no corregida completamente desde julio, revela deficiencias en el diseño y mantenimiento del software. La demora en la entrega de parches para SharePoint Server 2016, mientras que las versiones más recientes ya fueron atendidas, pone en evidencia una debilidad estructural en el soporte a sistemas heredados, dejando a numerosas organizaciones, incluidas las mexicanas, en un estado de exposición crítica.

Aunque Microsoft ha promovido un entorno seguro a través de herramientas como AMSI, el hecho de que se recomiende desconectar los servidores vulnerables revela que las soluciones actuales no fueron suficientes para mitigar el ataque en tiempo real. Además, la divulgación tardía de los ataques —iniciados desde el 18 de julio— limitó la capacidad de respuesta oportuna por parte de las organizaciones. Como líder global en tecnología, Microsoft enfrenta el reto de fortalecer su capacidad de respuesta, emitir alertas tempranas y colaborar de forma más estrecha con la comunidad para mitigar el impacto de amenazas tan sofisticadas como las de Storm-2603.

Este incidente deja al descubierto lecciones clave para el ecosistema global de ciberseguridad:

- Ningún sistema es invulnerable: A pesar de que Microsoft invierte más de mil millones de dólares al año en ciberseguridad, las brechas de día cero demuestran que ninguna empresa, por grande que sea, está exenta. La defensa no puede depender de un solo proveedor, y se requieren estrategias de seguridad en capas.

- Los sistemas heredados son un riesgo persistente: La vulnerabilidad en SharePoint Server 2016, aún común en México por limitaciones presupuestales, ilustra el riesgo de mantener software obsoleto. Las organizaciones deben considerar soporte extendido o migraciones a la nube, mientras que los usuarios deben exigir actualizaciones y mejoras continuas.

- La colaboración global es indispensable: Los ataques dirigidos por grupos como Storm-2603, con vínculos a gobiernos extranjeros, exigen una respuesta coordinada entre el sector privado, las autoridades y la comunidad de ciberseguridad. Microsoft debe liderar la compartición de inteligencia de amenazas para fortalecer las defensas globales.

- La proactividad supera a la reactividad: Los parches reactivos no solucionan problemas de fondo. Las empresas tecnológicas deben invertir en auditorías permanentes, pruebas de penetración y simulaciones de ataque para anticiparse a futuras amenazas.

En un país como México, donde muchas instituciones públicas operan con presupuestos limitados y ya han enfrentado incidentes previos, los usuarios de SharePoint deben tomar decisiones inmediatas y estratégicas.

Entre las recomendaciones prioritarias destacan:

- Gestión de parches urgente: Aplicar de inmediato las actualizaciones disponibles, activar herramientas como AMSI y Microsoft Defender, y eliminar obstáculos burocráticos que impidan una implementación ágil.

- Defensa en profundidad: Invertir en firewalls, autenticación multifactor, segmentación de redes y monitoreo constante. Además, es esencial rotar las claves ASP.NET tras un incidente de seguridad.

- Evaluación de sistemas obsoletos: Reconocer los riesgos de seguir usando versiones antiguas como SharePoint Server 2016 y valorar la migración, a pesar de los costos, como una inversión necesaria.

- Capacitación continua: Fomentar una cultura de ciberseguridad, brindando formación actualizada al personal para reconocer y responder a amenazas sofisticadas.

- Diversificación tecnológica: Evitar depender exclusivamente de un proveedor. Incorporar herramientas de código abierto o soluciones de terceros puede fortalecer la postura de seguridad.

- Exigencia hacia los proveedores: Las organizaciones deben presionar a Microsoft para que brinde soporte adecuado a versiones heredadas, publique parches a tiempo y sea más transparente ante futuras amenazas.

En última instancia, este incidente es un recordatorio de que la ciberseguridad es una responsabilidad colectiva. En un entorno global interconectado, una sola vulnerabilidad puede tener repercusiones en millones de usuarios. Estar informados, actuar con rapidez y exigir más de nuestros proveedores tecnológicos es la única forma de navegar con mayor seguridad este panorama de amenazas en constante evolución.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X: https://x.com/victor_ruiz

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599