- Hackers aprovecharon una grave brecha en SharePoint para infiltrarse en sistemas globales, apuntando a gobiernos, empresas y universidades.
- Microsoft identificó grupos vinculados a China como principales responsables, aunque otros actores criminales también han explotado la falla.
- El parche lanzado por Microsoft no bloqueó completamente los ataques, permitiendo accesos persistentes incluso tras actualizar.
- Decenas de organizaciones de alto perfil se han visto comprometidas, especialmente en Estados Unidos y Europa, mientras continúan las investigaciones.
En las últimas semanas se ha desatado una ola de ciberataques que ha puesto en el punto de mira al software de Microsoft. La preocupación crece entre instituciones y empresas de todo el mundo, después de que se identificara una vulnerabilidad en SharePoint, el sistema de gestión documental ampliamente utilizado por organizaciones gubernamentales y privadas. Este fallo, calificado de alta gravedad, ha permitido el acceso no autorizado a información sensible en numerosos países.
Los primeros indicios apuntan a que centenares de servidores han sido comprometidos, afectando a agencias gubernamentales, entidades educativas y el sector privado. El incidente ha provocado una reacción inmediata tanto de las autoridades como de la propia Microsoft, que intenta contener el impacto de este sofisticado ataque.
Una brecha en SharePoint desencadena el ataque
Durante el mes de julio, varios equipos de ciberseguridad internacionales detectaron una vulnerabilidad en la plataforma SharePoint, utilizada para almacenar y compartir documentos internos. La brecha permitía a los atacantes robar credenciales de acceso —incluyendo nombres de usuario, contraseñas y datos cifrados— y colarse en redes internas de organismos de alto perfil.
La falla fue catalogada como “día cero”, es decir, desconocida y sin solución al momento de ser aprovechada por los atacantes. Las investigaciones iniciales vinculan los accesos ilícitos a cientos de servidores ubicados en EE.UU., Alemania, el Reino Unido, España, Suiza, Brasil, Canadá, Sudáfrica, y otras regiones.
La propia Microsoft publicó un parche de seguridad intentando cerrar el agujero, pero expertos han advertido que los atacantes han encontrado maneras de eludir las medidas correctivas. En particular, se han detectado técnicas que permiten mantener puertas traseras operativas incluso tras las actualizaciones, garantizando a los hackers un acceso persistente.
Actores e implicaciones geopolíticas
Según los informes, los principales grupos identificados tras los ataques han sido asociados con el gobierno chino. Microsoft ha señalado a agrupaciones concretas bajo los nombres de Linen Typhoon, Violet Typhoon y Storm-2603. Estas organizaciones habrían actuado dentro de una campaña orquestada de ciberespionaje, con el objetivo de infiltrarse en organismos públicos, universidades, hospitales y empresas estratégicas de energía en varios continentes.
El asunto ha generado tensiones diplomáticas, ya que la Embajada de China niega cualquier vinculación y rechaza las acusaciones de ciberataque, exigiendo pruebas contundentes antes de emitir juicios. Las investigaciones aún están en marcha, pero fuentes de ciberseguridad y gobiernos occidentales insisten en que los patrones utilizados coinciden con tácticas previamente atribuidas a actores chinos.
Por su parte, entidades estadounidenses como el FBI y la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) han confirmado que colaboran activamente para contener la amenaza y limitar el número de organizaciones comprometidas.
Alcance y reacción de Microsoft
La magnitud del impacto sigue siendo incierta, pero ya se reconoce la afectación directa a entes como el Departamento de Educación de EE.UU., el Departamento de Hacienda en Florida, la Asamblea General de Rhode Island y la agencia responsable del arsenal nuclear estadounidense. También se han detectado incidentes en España, Oriente Medio y Asia, afectando desde universidades hasta empresas energéticas.
Cientos de organizaciones han sido notificadas sobre el riesgo, y se calcula que más de 10.000 servidores podrían estar expuestos, según estimaciones de especialistas consultados. El incidente resalta la importancia de reforzar la cultura de la ciberseguridad y la rapidez de respuesta ante vulnerabilidades en software crítico, especialmente cuando existen integraciones con otras plataformas de Microsoft como Office, Teams y OneDrive, lo que amplía la superficie de ataque.
Microsoft ha reiterado su compromiso con la seguridad y continúa desarrollando nuevas actualizaciones, aunque reconoce que el desafío es especialmente complejo por la profundidad de la integración de sus productos.
Tácticas y consecuencias de los ataques
La campaña de intrusiones se ha caracterizado por su velocidad de propagación y por el uso de métodos sofisticados. Los hackers han instalado componentes modificados y puertas traseras en los sistemas afectados, lo que les permite recuperar el acceso incluso tras reinicios de los servidores o la aplicación de parches.
Se ha detectado también el robo masivo de credenciales y la instalación de malware capaz de suplantar identidades y perpetuar el acceso a largo plazo. Entre las técnicas empleadas, destaca la explotación de vulnerabilidades “zero-day” y la distribución de cargas digitales a varias víctimas de distintos sectores.
Empresas como CrowdStrike, Mandiant y Eye Security han sido claves en la detección y análisis del ataque, alertando sobre la posibilidad de que más grupos criminales intenten explotar la misma brecha en un futuro cercano.
Un desafío global en constante evolución
La dimensión global de este episodio y el constante flujo de nuevas víctimas demuestran la rápida escalada de los ciberataques dirigidos a infraestructuras críticas. Las investigaciones continúan y, según observadores, no se descarta que incluso grupos distintos de los señalados inicialmente aprovechen la misma puerta abierta mientras las organizaciones terminan de protegerse.
Ante la magnitud de la amenaza, las autoridades instan a todas las empresas y departamentos dependientes de servidores SharePoint autoalojados a , revisar accesos y buscar señales de actividad sospechosa. La persistencia y creatividad de los atacantes dejan claro que la ciberseguridad es una carrera de fondo donde la prevención sigue siendo la apuesta más segura.