Microsoft SharePoint, la destacada plataforma de colaboración empresarial, se ha ubicado en el epicentro de una crisis de ciberseguridad global este verano. Campañas de explotación han comprometido miles de servidores, afectando redes de empresas multinacionales, entidades financieras, y organismos gubernamentales, generando gran preocupación entre los expertos en seguridad.
El incidente se originó en mayo de 2025, cuando se revelaron vulnerabilidades críticas en SharePoint durante el evento de hacking ético Pwn2Own Berlín. Estas fallas, identificadas como CVE-2025-49704 y CVE-2025-49706, permiten ejecutar código remotamente sin autenticación. Aunque Microsoft lanzó parches en julio, se descubrió que eran insuficientes para detener los ataques, que rápidamente aprovecharon las debilidades para instalar puertas traseras y robar información sensible.
Datos de la consultora Censys y la firma Eye Security revelan que más de 9.700 servidores SharePoint on-premise están expuestos, con al menos 400 ya comprometidos. Una de las entidades afectadas es la Administración Nacional de Seguridad Nuclear de EE.UU., aunque no se reportó fuga de información clasificada.
Microsoft ha señalado a grupos de ciberespionaje vinculados al gobierno chino, como Linen Typhoon y Storm-2603, como los principales actores detrás de los ataques. Sin embargo, la Embajada de China en EE.UU. ha negado enérgicamente estas acusaciones.
A pesar de la aplicación de parches, los atacantes pueden mantener acceso persistente, lo que representa un desafío adicional para las organizaciones afectadas. watchTowr Labs ha advertido que medidas de mitigación como AMSI son insuficientes, y ha subrayado la necesidad de rotar claves criptográficas y reiniciar servidores.
En respuesta, Microsoft ha emitido actualizaciones de seguridad para SharePoint Server 2016, 2019 y la edición Subscription. La Agencia de Ciberseguridad de EE.UU. (CISA) también ha instado a las agencias federales a aplicar las correcciones antes del 23 de julio de 2025.
Los responsables de seguridad deben reconocer la gravedad de esta cadena de exploits, que permite ejecución de código remoto, suplantación de usuarios y despliegue de ransomware. La conexión de SharePoint con otros servicios aumenta las repercusiones de los ataques.
Para mitigar riesgos, se recomienda aplicar los últimos parches, rotar claves, identificar indicadores de compromiso y aislar servidores comprometidos. Este incidente subraya la vulnerabilidad de los sistemas on-premise y plantea inquietudes sobre la eficacia de las respuestas ante amenazas avanzadas.
Eye Security concluye advirtiendo que este es un problema operativo actual y no solo un riesgo teórico. La falta de acción inmediata podría dejar a las organizaciones expuestas sin saberlo.
