- Dos vulnerabilidades zero-day críticas afectan a SharePoint Server local, con ataques activos desde julio.
- Las versiones afectadas son SharePoint Server Subscription Edition, 2019 y 2016; SharePoint Online no está en riesgo.
- El fallo permite ejecución remota de código y suplantación de identidad, comprometiendo potencialmente miles de servidores.
- Microsoft ha publicado parches de emergencia y medidas adicionales, recomendando aplicar todas las actualizaciones y reforzar la seguridad.
La ciberseguridad a nivel global se ha visto brusca y seriamente amenazada tras la detección de dos vulnerabilidades zero-day en SharePoint Server, que están siendo explotadas activamente desde comienzos de julio por distintos grupos cibercriminales. Estas brechas, catalogadas como críticas, han puesto en alerta máxima tanto a empresas privadas como organismos gubernamentales, ante el riesgo de intrusión y robo de información con un potencial impacto internacional.
La situación ha obligado a Microsoft a emitir varios comunicados de emergencia e implementar parches urgentes para sus servidores SharePoint instalados localmente. Según fuentes de ciberseguridad, más de medio centenar de organizaciones en diversos países ya han sido víctimas de estos ataques, y la cifra sigue creciendo conforme avanza la investigación sobre el alcance real del incidente.
Detalles técnicos de las vulnerabilidades y cómo actúan los atacantes
Las vulnerabilidades identificadas son CVE-2025-53770 y CVE-2025-53771. Están presentes en SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016. Es fundamental recalcar que SharePoint Online, dentro de Microsoft 365, no está afectado por estas brechas, ya que el fallo se limita a las instalaciones on-premise.
Ambos fallos permiten, en cadena, la ejecución remota de código sin que sea necesario ningún tipo de autenticación previa por parte del atacante. Esto significa que un cibercriminal puede tomar el control del servidor afectado y, según investigaciones independientes, extraer claves criptográficas, instalar malware y puertas traseras persistentes. Microsoft describe técnicamente la causa raíz como una «deserialización de datos no confiables», lo que otorga al atacante acceso privilegiado y capacidad para manipular el sistema comprometido.
Estos ataques han demostrado ser capaces de eludir los parches de seguridad anteriores, lo que incrementa la gravedad del incidente y subraya la sofisticación empleada por los grupos involucrados. En algunos casos, los atacantes han mantenido el acceso incluso después de la aplicación de parches, utilizando técnicas de spoofing para suplantar identidades dentro de la red objetivo.
Impacto global y víctimas afectadas
La campaña de ataques, conocida en algunos informes como ToolShell, ha tenido como objetivo a universidades, hospitales, bancos, grandes empresas tecnológicas y agencias de gobierno en países como Estados Unidos, Alemania, Francia, Australia, España y Brasil.
Entre las víctimas se han identificado organismos clave de infraestructura crítica, y firmas de ciberseguridad señalan que los atacantes han conseguido robar información confidencial, instalar malware persistente y moverse lateralmente dentro de las redes internas comprometidas.
Distintas investigaciones han sugerido la posible participación de grupos vinculados a gobiernos extranjeros, aunque hasta la fecha no se ha atribuido el ataque a una entidad concreta. Microsoft y otras compañías afectadas han activado protocolos de colaboración con entidades internacionales como la CISA, el FBI y agencias europeas, para intentar frenar la propagación de los ataques.
Respuesta de Microsoft y principales recomendaciones de seguridad
Microsoft ha publicado parches de emergencia para SharePoint Server Subscription Edition y SharePoint 2019, mientras que la actualización para SharePoint 2016 todavía está en desarrollo. La compañía ha hecho un llamamiento a todas las organizaciones para que apliquen inmediatamente las actualizaciones de seguridad y sigan estrictamente las recomendaciones adicionales proporcionadas.
- Desconectar los servidores SharePoint expuestos a Internet si no se pueden parchear de inmediato.
- Activar la Antimalware Scan Interface (AMSI) junto con Microsoft Defender Antivirus en modo completo.
- Rotar todas las claves criptográficas y de validación (machine keys) de ASP.NET tras aplicar el parche.
- Reiniciar IIS en todos los servidores SharePoint actualizados.
- Contratar servicios profesionales de respuesta forense si existe sospecha de compromiso.
Las agencias de ciberseguridad gubernamentales, como la estadounidense CISA, han incluido estas vulnerabilidades en sus catálogos de riesgos críticos y han ordenado a las instituciones federales parchear todos los servidores antes de fechas límite muy próximas para limitar el daño potencial.
Origen y persistencia de la amenaza: un desafío constante para Microsoft
El origen de la vulnerabilidad explotada se remonta a un concurso de hacking celebrado en Berlín durante el mes de mayo, donde investigadores descubrieron fallos que no habían sido detectados ni corregidos previamente. A pesar de la rápida respuesta de Microsoft publicando un parche inicial, los cibercriminales han logrado saltarse estas primeras barreras, demostrando la necesidad de mejorar los procesos de revisión y despliegue de actualizaciones de seguridad.
Expertos advierten que, debido a la profunda integración de SharePoint con otros servicios de Microsoft como Teams, Outlook y OneDrive, una brecha en esta plataforma puede desembocar rápidamente en el robo de credenciales, ampliación del ataque a toda la organización y grandes pérdidas de datos sensibles.
La situación pone en evidencia la dificultad para proteger infraestructuras empresariales complejas, especialmente cuando se trata de soluciones ampliamente desplegadas y conectadas con otros sistemas críticos de negocio. Si bien se han dado pasos importantes, la amenaza sigue activa y el riesgo continúa hasta que todas las entidades hayan corregido y revisado sus entornos en profundidad.
Todas las organizaciones que utilicen SharePoint Server local deben actuar con la máxima celeridad para minimizar los riesgos de intrusión y proteger la integridad de sus datos y sistemas. El episodio vuelve a poner sobre la mesa la importancia de mantener actualizados todos los servicios, formar a equipos técnicos y adoptar una estrategia de defensa en profundidad ante las amenazas emergentes en el panorama digital.