La falla en el software de Microsoft, misma que fue descubierta hace apenas unos días, ha abierto la puerta a una campaña de espionaje y ransomware sin precedentes, que pone en jaque a las organizaciones que utilizan SharePoint en sus operaciones.

Una semana después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), emitiera una alerta advirtiendo que los hackers estaban comenzando a explotar una vulnerabilidad de “día cero” en los servidores de Microsoft SharePoint, los investigadores de Eye Security, la firma europea de ciberseguridad que descubrió dicha falla, reveló que, hasta el momento, al menos 400 organizaciones han sido víctimas de ataques a raíz de que se descubrió esta brecha de seguridad en su software.

Hackers aprovechan la vulnerabilidad de día cero de SharePoint

Antes que nada, vale la pena explicar que se le conoce como “vulnerabilidad de día cero” a una falla de seguridad presente en un software o hardware que es desconocida por su proveedor y, por lo tanto, no tiene un “parche” o solución disponible.

Microsoft confirmó que en este caso la vulnerabilidad denominada formalmente como “CVE-2025-53770”, afecta a múltiples versiones locales de su plataforma de gestión de documentos y colaboración de Microsoft.

La razón principal por la cual los ataques a SharePoint han escalado aceleradamente es el hecho de que la falla afecta únicamente a las versiones que son ejecutadas localmente por sus clientes, lo que significa que no hay nada que Microsoft pueda hacer para solucionar la problemática de forma generalizada, sino que cada empresa debe hacerse responsable de implementar las correcciones de software necesarias.

A pesar de que el gigante de la tecnología se movilizó rápidamente tras detectar el problema en los servidores de SharePoint lanzando parches de seguridad para ayudar a sus clientes a solucionar la cuestión, aún no todas las organizaciones los han implementado.

Mientras tanto, la CISA ha recomendado a las empresas que utilizan SharePoint en servidores propios que los desconecten de internet hasta no aplicar las actualizaciones enviadas por Microsoft, ya que “el nivel de exposición es alarmante”, de acuerdo con un comunicado de la agencia de ciberseguridad norteamericana.

¿Qué tipo de ataques están realizando los hackers?

Según un informe detallado de Eye Security los hackers están aprovechando esta brecha de seguridad para ejecutar código malicioso de forma remota, robar claves digitales privadas y desplegar ransomware, entre otras técnicas de ciberdelincuencia utilizadas para vulnerar las plataformas digitales de una organización.

Una vez que logran ingresar al servidor de SharePoint, obtienen acceso completo a documentos, archivos confidenciales e incluso a otras aplicaciones de Microsoft conectadas a SharePoint como Outlook, Teams y OneDrive.

De acuerdo con los investigadores de la firma seguridad, la campaña de ciberespionaje habría comenzado el pasado 18 de julio, afectando inicialmente a agencias federales de Estados Unidos, universidades, empresas energéticas y otras entidades críticas.

Los detalles de la mayoría de las organizaciones que han sufrido ciberataques en la última semana debido a la vulnerabilidad de día cero de SharePoint aún no se han revelado completamente. No obstante, se sabe que entre las víctimas confirmadas de mayor renombre se encuentran los Institutos Nacionales de Salud (NIH) y la Administración Nacional de Seguridad Nuclear (NNSA), la organización responsable del cuidado y gestión de las armas nucleares de los Estados Unidos.

Temen que el gobierno chino podría estar detrás de los ciberataques

Microsoft sospecha que la escalada de ataques pudiera tener una motivación geopolítica, ya que ha señalado a Linen Typhoon, Violet Typhoon y Storm-2603, tres grupos de hackers vinculados con el gobierno chino, como posibles orquestadores detrás de la oleada de ciberataques.

Dichas bandas de cibercriminales han sido rastreadas desde hace años debido a sus operaciones de espionaje cibernético contra gobiernos, ONGs, medios y diversas organizaciones en sectores estratégicos, por lo que Microsoft cree que pueden estar directamente ligados con la explotación masiva de la vulnerabilidad de día cero de SharePoint.

El gobierno chino, por su parte, ha negado las acusaciones del gigante del software. Sin embargo, diversos analistas respaldan las sospechas de Microsoft, ya que la campaña ocurre justamente en un momento en el que la tensión geopolítica entre China y Estados Unidos se agudiza y empresas tecnológicas como Amazon e IBM están reduciendo sus proyectos de investigación y desarrollo con sede en el país asiático, debido a las presiones del gobierno estadounidense.