Microsoft SharePoint, la popular plataforma de colaboración empresarial y gestión documental, se ha convertido este verano en uno de los principales focos de alarma en materia de ciberseguridad a nivel global. Las recientes campañas de explotación masiva de vulnerabilidades críticas han comprometido miles de servidores en todo el mundo, incluyendo redes de multinacionales, bancos, operadores de telecomunicaciones, instituciones sanitarias y organismos gubernamentales.
La situación, considerada crítica por expertos y agencias de ciberseguridad, ha obligado a Microsoft a lanzar actualizaciones de emergencia y medidas de mitigación, aunque no han sido suficientes para frenar la propagación del ataque.
Una vulnerabilidad revelada y activamente explotada
El origen del incidente se remonta a mayo de 2025, durante el evento de hacking ético Pwn2Own Berlín, donde se presentó una cadena de vulnerabilidades críticas en SharePoint bajo el nombre de ‘ToolShell’. Estas fallas, identificadas como CVE-2025-49704 y CVE-2025-49706, permiten la ejecución remota de código sin necesidad de autenticación. Tras la divulgación responsable, Microsoft las reconoció como críticas y publicó parches a principios de julio.
Sin embargo, el pasado fin de semana se confirmó que estos parches eran insuficientes: múltiples campañas activas de ciberataques aprovecharon una cadena de explotación basada en ToolShell para eludir las defensas e instalar puertas traseras como spinstall0.aspx, permitiendo el robo de claves criptográficas y el control total de los servidores afectados. La cadena ha sido registrada como CVE-2025-53770 y CVE-2025-53771, catalogadas como vulnerabilidades de día cero.
Al menos 9.000 servidores potencialmente vulnerables
Según datos recopilados por la consultora Censys y la firma Eye Security, más de 9.700 servidores SharePoint on-premise están expuestos en línea. Hasta el momento se han confirmado al menos 400 servidores comprometidos activamente en cuatro oleadas de ataques entre el 17 y el 21 de julio, según registros de telemetría global.
Entre las organizaciones afectadas se encuentra la Administración Nacional de Seguridad Nuclear de EE.UU., responsable del arsenal nuclear estadounidense, según ha informado Bloomberg, aunque no hay constancia pública de fuga de información clasificada.
Señalamientos a grupos vinculados al Gobierno chino
Microsoft ha atribuido la explotación de estas vulnerabilidades a tres grupos de ciberespionaje asociados al gobierno chino: Linen Typhoon, Violet Typhoon y Storm-2603. Este último, además de robar credenciales y claves criptográficas, habría desplegado ransomware Warlock, según ha confirmado Microsoft Threat Intelligence.
La Embajada de China en Estados Unidos ha rechazado enérgicamente estas acusaciones, calificándolas de infundadas y reiterando su oposición a cualquier tipo de ciberdelito.
Persistencia incluso después del parcheo
Una de las principales amenazas de esta campaña es que, incluso tras aplicar los parches, los atacantes pueden mantener acceso persistente. Esto es posible gracias al robo de claves internas (Machine Keys) que permiten generar tokens válidos en SharePoint y ejecutar comandos remotos con privilegios, una técnica ya documentada en anteriores campañas de RCE (ejecución remota de código).
Organizaciones como watchTowr Labs han advertido que medidas de mitigación como la activación de AMSI (Antimalware Scan Interface) no son suficientes, y que es imprescindible parchear, rotar claves criptográficas y reiniciar todos los servidores SharePoint afectados.
Recomendaciones urgentes de Microsoft y CISA
Microsoft ha emitido nuevas actualizaciones de seguridad para SharePoint Server 2016, 2019 y la edición Subscription, detallando los parches KB5002760, KB5002754 y KB5002768. Además, recomienda rotar las claves ASP.NET de los servidores y reiniciar IIS en todos los sistemas, como paso crítico adicional.
Por su parte, la Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) ha incluido las vulnerabilidades en su catálogo de amenazas explotadas activamente, exigiendo a las agencias federales aplicar las correcciones antes del 23 de julio de 2025.
Riesgos para los CISOs: acceso sin autenticación y lateralidad
Los responsables de seguridad deben entender que se trata de una cadena de exploits que permite a los atacantes:
- Ejecutar código remotamente sin necesidad de credenciales.
- Suplantar usuarios y servicios internos.
- Robar claves que permiten mantener el acceso tras el parcheo.
- Desplegar ransomware y realizar movimientos laterales en el dominio Windows.
Además, la conexión habitual de SharePoint con otros servicios como Teams, OneDrive y Outlook amplifica el impacto del compromiso.
¿Qué deben hacer las organizaciones ahora?
Según Eye Security y Microsoft, las organizaciones que utilicen SharePoint on-premise deben tomar medidas inmediatas:
- Aplicar los últimos parches publicados por Microsoft.
- Rotar las Machine Keys y reiniciar IIS en todos los servidores SharePoint.
- Buscar indicadores de compromiso, como los archivos
spinstall0.aspxy conexiones a dominios comoupdate.updatemicfosoft.com. - Aislar o apagar servidores comprometidos, renovar credenciales y consultar con equipos especializados en respuesta a incidentes.
Los investigadores han compartido también indicadores de compromiso (IOC), incluyendo direcciones IP, hashes de archivos y cadenas específicas en los logs de IIS que permiten detectar actividad maliciosa.
Un precedente preocupante para entornos empresariales
Este incidente es uno de los más graves en la historia reciente de SharePoint y pone de relieve la fragilidad de los sistemas on-premise ante ataques sofisticados y rápidos. También plantea serias dudas sobre los tiempos de respuesta y la eficacia de los parches frente a vulnerabilidades críticas en entornos de misión crítica.
Como concluyen desde Eye Security, “este no es un riesgo teórico: es una amenaza operativa en curso. Quien no actúe ya, puede estar comprometido sin saberlo”.
Más información y actualizaciones:
Este artículo ha sido elaborado con información técnica verificada y fuentes oficiales como Eye Security, Microsoft Threat Intelligence, CISA y medios especializados.
