POST

Una nueva vulnerabilidad grave ha sido descubierta en Microsoft SharePoint, una plataforma que miles de organizaciones usan para compartir archivos, coordinar proyectos y almacenar documentos. Lo preocupante: esta brecha ha sido utilizada para atacar empresas, universidades, hospitales y organismos gubernamentales en todo el mundo. Y sí, es algo que puede afectar directamente a tu organización.

¿Qué pasó exactamente?

Se ha detectado un “agujero” en el sistema de SharePoint que permite a delincuentes digitales acceder a la información sin neceidad de una contraseña. Este tipo de brecha se conoce como “vulnerabilidad de día cero”, porque era desconocida para Microsoft hasta que los ataques empezaron a producirse.

El método de ataque —conocido como _ToolShell_— permite a los atacanantes:

• Entrar sin permiso en los servidores.
• Robar documentos, configuraciones internas y credenciales.
• Instalar software malicioso (malware).
• Secuestrar claves de seguridad que controlan el acceso a otros servicios corporativos como Outlook, OneDrive o Teams.

¿A quién afecta?

Principalmente a organizaciones que tienen instalada la versión local (on-premise) de SharePoint Server, es decir, la que se ejecuta en sus propios servidores y no en la nube. Esto incluye a empresas privadas, organismos públicos, universidades y hospitales.

Se estima que más de 10.000 servidores podrían estar en riesgo, aunque no se ha confirmado cuántos han sido comprometidos hasta ahora. El número de servidores afectados va en aumento a medida que se van analizando sistemas.

¿Por qué es grave?

Porque una vez que el atacanate consigue las llamadas “MachineKeys” (claves internas del sistema), puede hacersse pasar por usuarios legítimos, acceder a datos sensibles y mantenerse dentro de la red aunque se instalen parches. En otras palabras, puede camuflarse dentro del entorno corporativo y operar sin ser detectado.

Además, si tu organización integra SharePoint con otros servicios digitales, el alcance del ataque podría extenderse más allá de este sistema.

¿Qué se sabe y qué no?

Para hacer frente a esta vulnerabilidad de día cero, Microsoft ya ha lanzado actualizaciones para algunas versiones (2019 y Subscription Edition), pero otras como SharePoint 2016 siguen expuestas sin solución definitiva.

Por otro lado, las autoridades todavía están investigando la autoría del ataque. En la actualidad se desconoce quién ha sido el responsable, aunque algunos informes lo vinculan con actores internacionales.

¿Qué deberías hacer?

Si tu organización tiene instalado SharePoint podrías ser una víctima de este ciberataque. En ese caso sigue atentamente estas instrucciones que te vamos a dar:

1. Actualiza inmediatamente los sistemas con los parches disponibles.
2. Cambia las claves internas (MachineKeys) para evitar que los atacanantes mantengan el acceso.
3. Activar sistemas de escaneo de malware y revisar los acceisos externos.
4. Realizar una auditoría completa para detectar posibles brechas adicionales.

En Boreal Security estamos a tu disposición para ayudarte en todo el proceso. Nuestro equipo de profesionales expertos en el ámbito de la ciberseguridad pondrá al servicio de tu empresa sus conocimientos para que puedas superar este trámite airoso y con el menor de los daños. ¡Contáctanos ya!