Hackeo de Microsoft SharePoint golpea a EE. UU., gobiernos estatales y empresas en todo el mundo

 (washingtonpost.com)
6 puntos por GN⁺ 2025-07-22 | 1 comentarios | Compartir por WhatsApp
  • Una vulnerabilidad crítica en servidores Microsoft SharePoint fue explotada, y instituciones y empresas de todo el mundo sufrieron ataques de hackeo, incluidos el gobierno federal y gobiernos estatales de EE. UU., universidades, empresas de energía y una operadora de telecomunicaciones de Asia
  • Este hackeo apuntó a una vulnerabilidad de día cero sin parche disponible, dejando a decenas de miles de servidores SharePoint expuestos al riesgo. Microsoft solo proporcionó parches para algunas versiones, y otras siguen siendo vulnerables
  • Los atacantes causaron daños graves como robo de datos sensibles, recolección de contraseñas y obtención de claves para volver a infiltrarse. En algunos casos, incluso fue “secuestrado” un repositorio de documentos para divulgación pública de información gubernamental, bloqueando el acceso
  • El alcance del impacto no se limita a EE. UU., sino que abarca Europa, Asia, Sudamérica y otros países del mundo. Organismos como el FBI y CISA iniciaron una respuesta de emergencia y el intercambio de información
  • Microsoft ha sido criticada por incidentes de seguridad repetidos en los últimos años, y este caso vuelve a poner en evidencia limitaciones estructurales como demoras en los parches, un sistema de seguridad débil y la posibilidad de reinfiltración por parte de los atacantes

Hackeo de servidores Microsoft SharePoint

  • Atacantes desconocidos utilizaron una vulnerabilidad de seguridad no revelada de SharePoint, el software de colaboración de Microsoft, para atacar instituciones y empresas a nivel global, incluidos el gobierno federal y gobiernos estatales de EE. UU., universidades, empresas de energía y una operadora de telecomunicaciones asiática
  • El ataque apuntó a una vulnerabilidad de día cero (0-day), provocando diversos daños como fuga y robo de datos dentro de los servidores y obtención de claves de cifrado

Estado de la vulnerabilidad y de los parches

  • Según los expertos, decenas de miles de servidores SharePoint están en riesgo. Los objetivos se limitan a servidores on-premises, y las versiones en la nube (como Microsoft 365) no se ven afectadas
  • Microsoft publicó el domingo un parche para una versión, pero otras 2 versiones siguen sin parche. Las organizaciones afectadas están tomando medidas propias y aplicando mitigaciones temporales
  • Se destaca que, incluso después del parche, los atacantes pueden volver a entrar usando las claves obtenidas, por lo que una actualización rápida por sí sola no basta para recuperar el daño

Alcance del ataque y de los daños

  • Varias firmas de seguridad, como CrowdStrike, Palo Alto Networks y Eye Security, confirmaron que más de decenas de instituciones y empresas fueron comprometidas
  • Entre los afectados hay gobierno federal y gobiernos estatales de EE. UU., organismos gubernamentales europeos, universidades, compañías de energía y una operadora de telecomunicaciones asiática
  • En un gobierno estatal, un repositorio oficial de documentos para información al público fue hackeado y quedó inaccesible, y en algunos casos también surgieron temores de un ataque tipo wiper que borre completamente los datos

Respuesta de la industria de seguridad y del gobierno

  • Organismos del gobierno de EE. UU. como el FBI y CISA están llevando a cabo una investigación inmediata y una respuesta conjunta
  • CISA, apenas recibió reportes de empresas privadas de ciberseguridad, colaboró con Microsoft e impulsó el desarrollo de parches
  • Organizaciones como el Center for Internet Security enviaron alertas urgentes de vulnerabilidad a unas 100 instituciones, mientras que la reducción presupuestaria ha disminuido drásticamente el personal dedicado al intercambio de información y respuesta a incidentes, dificultando la reacción

Microsoft y las controversias de seguridad recurrentes

  • Microsoft ha sufrido una caída en la confianza de organismos públicos y clientes gubernamentales por una serie de hackeos en los últimos 2 años (por ejemplo, el hackeo en 2023 de correos gubernamentales atribuido a China, intrusiones en su propia red y errores de programación en la nube)
  • Este hackeo vuelve a exponer limitaciones estructurales como demoras en los parches, falta de consideración de similitudes entre vulnerabilidades y una gestión de seguridad repetidamente deficiente
  • A esto se suma la controversia por el uso de ingenieros con base en China dentro del personal de apoyo a proyectos de nube del Departamento de Defensa de EE. UU., lo que incrementa la preocupación por la dependencia del sector público de Microsoft

Conclusión y perspectivas

  • Este incidente muestra que una sola vulnerabilidad en una solución de colaboración a gran escala puede tener un efecto grave sobre innumerables instituciones y empresas en todo el mundo
  • Dado que los atacantes pueden mantener acceso durante mucho tiempo incluso después del parche mediante claves de cifrado obtenidas, se necesita un fortalecimiento de seguridad de fondo más allá de simplemente aplicar parches
  • También se señala que la reducción de personal y presupuesto de seguridad, así como la falta de gobernanza de TI, son vulnerabilidades estructurales en la respuesta del sector público a las ciberamenazas

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-07-22
Opiniones de Hacker News

  • CISA recomendó que las organizaciones con vulnerabilidades de seguridad aíslen ese producto de Internet hasta que salga un parche oficial, pero me parece interesante que todavía existan organizaciones que alojan SharePoint on-premises y además lo exponen a Internet; había asumido que la mayoría de esas organizaciones obligaban a usar VPN

    • Me decepciona que CISA se haya convertido en un grupo que perdió talento real en comparación con antes y que ahora prioriza más la obediencia política; comparto el caso reciente en el que Arizona fue atacado por hackers iraníes pero no pidió ayuda enlace al artículo. Organizaciones como CISA, que investigan ataques amplios, son realmente importantes, y me preocupa que ahora estén sometidas a criterios políticos enlace de Techdirt

    • La mejor práctica es asumir que la red ya fue comprometida; una VPN tampoco garantiza seguridad perfecta. Mientras más grande es una organización, más fácil es perder dispositivos o volverlos difíciles de administrar, así que es importante adoptar sí o sí un enfoque de “zero trust” y permitir acceso desde cualquier lugar. Las organizaciones quieren controlar los datos sin perder flexibilidad operativa

    • En su momento, SharePoint también fue promocionado activamente para operar sitios web públicos; antes de la migración a la nube, vendedores de Microsoft llegaban a la oficina a decir que gracias al SharePoint más reciente Wordpress iba a desaparecer. Por esa inercia, todavía hay muchas organizaciones que siguen atadas a ese enfoque antiguo

    • Tampoco es raro operar servicios internos como SharePoint o Exchange detrás de un pre-auth reverse proxy

    • En el pasado Microsoft promocionó mucho SharePoint para intranets, así que muchas instituciones lo adoptaron. Como SharePoint 2019 está llegando al fin de soporte, hay muchas organizaciones intentando construir rápido un sistema alternativo

  • Me pregunto por qué el Principal Engineer Copilot no pudo evitar una vulnerabilidad así

    • La vulnerabilidad pudo haber existido desde antes de que Copilot obtuviera ese título; incluso pudo ser un problema heredado desde la época de un intern

    • Hackers, clientes, empleados y administradores son todos más o menos lo mismo; una y otra vez nos hackean China, nuestros propios clientes y administradores o empleados basados en China. Pienso que toda la empresa ya está comprometida. Expreso mi desconfianza de que el PE copilot incluso podría estar ayudando al ataque

    • Los hackers también pueden usar Copilot, así que al final una de las partes necesariamente va a ganar (?)

  • He pasado demasiado tiempo con SharePoint; siento que exponerlo a Internet jamás es una buena decisión. Parece que desde cierta versión sí se promovía también como servidor web público, pero aun así instalábamos todas las instancias aisladas en la red

    • A inicios de la década de 2010, Microsoft promovía agresivamente SharePoint como solución para sitios de Internet, y alguna vez vi casos de fabricantes europeos de autos como BMW o Ferrari usándolo para sitios globales de marketing. Pero costaba demasiado, algo así como 40 mil dólares por sitio, así que no duró mucho

    • Cuando usé SharePoint por un rato hace varios años, pensé que el hosting web público era su propósito original

  • Escuché muchas veces entre empleados del Pentágono el chiste de que “si quieres derribar al ejército de EE. UU., solo tienes que eliminar SharePoint”; siempre aparece como humor en discursos militares

    • En algún momento se usó muchísimo SharePoint dentro de la organización

  • Mi feed de alertas de seguridad en tiempo real detectó esta noticia antes que los grandes medios feed de ZeroDayPublishing

    • Me pregunto si también ofrecen un feed RSS

  • Creo que en el negocio enterprise on-premises debería haber más Red Hat que Microsoft, especialmente para clientes críticos como el DoD; una vulnerabilidad así es inaceptable. Mucha gente dice que no se puede penetrar Google, pero las agencias gubernamentales siguen usando soluciones on-premises vulnerables como SharePoint. Me pregunto por qué no migran más a sistemas tipo Linux, que son más baratos y más usados. ¿De verdad la seguridad no es la prioridad número uno?

    • Creo que es porque Microsoft sabe navegar muy bien las regulaciones y procesos burocráticos que exigen las agencias gubernamentales; no conozco a nadie del lado Linux que lo haga a ese nivel

  • Me pregunto si Microsoft realmente llegó a administrar servidores del Departamento de Defensa de EE. UU. a través de empleados residentes en China; supongo que dentro del DoD también deben usar SharePoint

    • Hay una versión separada de M365 para el DoD (incluyendo SPO), pero eso no está relacionado con este artículo

    • Enlace al artículo relacionado artículo de Reuters

    • Citando el contenido del artículo: “Defectos de programación en servicios en la nube permitieron que hackers vinculados con China robaran correos electrónicos del gobierno federal, y ProPublica reveló que Microsoft hasta hace poco tenía personal chino como apoyo en el programa de nube del Departamento de Defensa de EE. UU.; el secretario de Defensa ordenó una revisión total al respecto”

  • Me impactó que, como resultado de los grandes recortes al presupuesto de CISA, también se redujo en 65% el personal de respuesta a crisis, por lo que resolver incidentes tomó mucho más tiempo

    • No sé qué me enoja más: que tantos profesionales especializados hayan perdido su trabajo, o el hecho de que, aun después de recortar tanto, casi no se encontrara desperdicio real. Es una situación verdaderamente absurda

  • Puede que esto cause algo de rechazo, pero una parte de mí quisiera que pasaran más cosas así para que las empresas dejaran de usar SharePoint. No lo uso desde 2017, pero cada vez que lo usaba era terrible de verdad; incluso usé una camiseta con la frase “SharepoIT Happens”. Todos mis compañeros de trabajo también estaban de acuerdo en que SharePoint apesta

    • Mientras no dejes de usar M365, no puedes dejar de usar SharePoint. Por ejemplo, cuando creas un equipo en Teams, automáticamente se crea un grupo de M365, y para cada grupo se crean un sitio de SharePoint y un buzón de Exchange. Los archivos de los canales se guardan en SharePoint, los mensajes se guardan en Exchange y los archivos personales se guardan en OneDrive (= SharePoint). Es decir, en la práctica todo M365 está construido sobre SharePoint y Exchange

    • Antes estuve en una empresa donde Microsoft intentó introducir un sistema automático de DRM basado en SharePoint. Cuando subías un documento, SharePoint le aplicaba DRM automáticamente, y cuando el usuario lo descargaba, el archivo solo podía abrirse en dispositivos designados. Pero, según el método de inicio de sesión, también era posible recibir el archivo sin DRM, y ni siquiera los consultores de Microsoft pudieron resolverlo al final

    • En nuestra empresa tenemos SharePoint y además un sitio interno aparte para documentos/notas de trabajo (tipo Notion/Quip/Confluence), y la gran mayoría de los desarrolladores usa este último. Pero algunos empleados suben solo archivos de Word, así que al final todos terminan obligados a usar SharePoint y a buscar documentos en dos lugares distintos

    • Mi jefe me hizo seguir configurando SharePoint por más de un año, pero después de seis meses de investigarlo bien me pareció bastante mediocre. Al final mi jefe contrató a otro técnico que lo instaló en un día, pero nadie lo usó. Lo único que quedó de todo eso fue que me robaron mi memoria USB de alta velocidad

    • Desde la perspectiva de una empresa mediana que trabaja con agencias gubernamentales, aunque existan mejores soluciones casi no se usan. Hay tantos requisitos de ciberseguridad que SharePoint termina siendo la “única” opción comercialmente viable. Aunque SharePoint sea incómodo, las alternativas se consideran “riesgosas”. Hay muchas quejas grandes y pequeñas: no se puede hacer scroll por la lista de archivos, fallan funciones de automatización, se rompe el login entre tenants de M365, las URL son ilegibles, la búsqueda rinde mal, las tablas/filtros fallan y la UI para configurar permisos está escondida. No son problemas que uno deba resolver buscando hacks en Internet

  • Si algún día yo fuera miembro del consejo directivo de una empresa, nunca confiaría ciegamente en un CTO o fundador que impulsara voluntariamente la adopción de soluciones de Microsoft. Cada vez que hago clic en un enlace de Microsoft Office dentro de Teams, mi desconfianza hacia Microsoft crece más. Que SharePoint tenga vulnerabilidades no me sorprende en lo más mínimo