Publicada enEstudios sobre Digital Microsoft Noticias de Tecnología seguridad

Alerta crítica en Microsoft SharePoint: qué es, qué ha pasado y cómo deben actuar las empresas afectadas

una alerta en la ciudad por un hacker

Microsoft SharePoint es una plataforma para la gestión de la información de miles de empresas, organismos públicos e instituciones en todo el mundo. Sin embargo, se ha visto afectada por una grave brecha de seguridad que ha puesto en alerta a quienes la utilizan. Una alerta tan seria que el organismo encargado de la ciberseguridad en España, Incibe, el Instituto Nacional de Ciberseguridad, le ha otorgado un nivel de importancia «crítico».

 

 

Qué es Microsoft SharePoint

Para entender la magnitud de esta brecha, primero es importante recordar qué es SharePoint.

Microsoft SharePoint es una plataforma de colaboración empresarial que forma parte de la suite Microsoft 365 (anteriormente Office 365). Su propósito principal es facilitar el trabajo en equipo, la gestión documental y la comunicación interna, integrándose de forma nativa con otras aplicaciones de Microsoft como Word, Excel, Outlook o Teams.

Es algo así como el equivalente al popular Google Drive, aunque SharePoint está más enfocada hacia medianas y grandes empresas que necesitan una plataforma integral para la gestión de documentos, la colaboración interna y la automatización de procesos. Además, SharePoint existe tanto en la nube (SharePoint Online, parte de Microsoft 365) como en implementaciones locales (SharePoint Server «on-premises»).

Así, las empresas utilizan SharePoint para:

  • Almacenar y organizar documentos: Permite guardar, controlar versiones y compartir archivos de forma segura en un lugar centralizado.
  • Fomentar la colaboración: Facilita que múltiples usuarios trabajen en el mismo documento a la vez (coautoría), gestionen tareas y compartan información.
  • Crear sitios web internos (intranets): Las organizaciones construyen portales para difundir noticias, anuncios, políticas y recursos a sus empleados.
  • Automatizar procesos: Permite diseñar flujos de trabajo para tareas como aprobaciones de documentos o seguimiento de proyectos.

La reciente brecha de seguridad en SharePoint

La comunidad de ciberseguridad ha emitido una alerta crítica debido a la explotación activa de una vulnerabilidad «zero-day» en los servidores locales de Microsoft SharePoint Server.  Se trata de una brecha de seguridad que era desconocida para Microsoft y el público antes de ser explotada por los atacantes, y permite la ejecución remota de código (RCE) en los servidores afectados. En términos sencillos, un atacante puede ejecutar comandos en el servidor y tomar control del mismo a través de la red, incluso sin necesidad de autenticación.

De acuerdo con la información facilitada por la propia Microsoft y organismos como Incibe, los ciberdelincuentes están explotando activamente esta vulnerabilidad en servidores SharePoint Server de todo el mundo. Así, Microsoft ha confirmado la existencia de ataques dirigidos a sus clientes con implementaciones locales.

Por lo que se ha hecho público, organizaciones de diversa índole han sido afectadas, incluyendo agencias gubernamentales (como la agencia de armamento nuclear de EE. UU., la NNSA), universidades y empresas de sectores críticos como energía y telecomunicaciones. Microsoft ha atribuido la explotación de estas vulnerabilidades a tres grupos de piratas informáticos chinos.

Es fundamental destacar que esta brecha solo afecta a las implementaciones de SharePoint Server «on-premises» (servidores instalados y gestionados localmente por la empresa). No afecta al servicio SharePoint Online, que forma parte de Microsoft 365 y es gestionado por Microsoft en la nube.

¿Cómo puede afectar esta brecha a una empresa?

Microsoft ha publicado actualizaciones de seguridad que protegen completamente a los clientes que usan SharePoint Subscription Edition y SharePoint 2019, pero todavía está trabajando en actualizaciones de seguridad para SharePoint 2016

Las consecuencias de que un servidor SharePoint local sea comprometido a través de esta vulnerabilidad pueden ser bastante graves. Por ejemplo, el atacante puede obtener el control completo del servidor SharePoint y, desde allí, moverse a otros sistemas críticos dentro de la red de la empresa. SharePoint almacena información altamente sensible como contratos, datos de clientes, propiedad intelectual, información financiera, datos de empleados y más. Un atacante podría robar, cifrar o exponer esta información.

Además, los atacantes pueden bloquear el acceso a los servidores, dañar la infraestructura, cifrar archivos con ransomware o sabotear el sistema, deteniendo procesos clave y paralizando las operaciones que dependen de SharePoint.

Y claro, un servidor comprometido es una puerta de entrada perfecta para desplegar ransomware en toda la red, exigiendo rescates millonarios, o instalar otro tipo de malware persistente.

Consejos urgentes sobre cómo actuar para las empresas

Ante esta situación, es clave que las empresas que utilicen Microsoft SharePoint Server local tomen medidas inmediatas:

  • Aplicar los parches de seguridad de forma urgente. Microsoft ha lanzado actualizaciones de seguridad de emergencia para SharePoint Subscription Edition y SharePoint 2019. Para SharePoint 2016, las actualizaciones están en desarrollo, y se recomienda aplicar las últimas actualizaciones de seguridad disponibles (incluidas las de julio de 2025).
  • Presta atención a los canales oficiales de Microsoft y el CCN-CERT (Centro Criptológico Nacional – CERT de Seguridad) en España para nuevas actualizaciones y recomendaciones.
  • Verificar el grado de exposición y el compromiso de tus sistemas:
    • Realiza un análisis exhaustivo de tus servidores SharePoint Server para detectar cualquier signo de compromiso o actividad maliciosa.
    • Revisa los registros (logs) del servidor en busca de accesos inusuales o actividades sospechosas.
    • Asegúrate de que tus firewalls y sistemas de detección de intrusiones estén actualizados y configurados para detectar y bloquear posibles ataques dirigidos a SharePoint.
    • Restringe el acceso a los servidores SharePoint a lo estrictamente necesario.
  • Asegúrate de que la Interfaz de Escaneo Antimalware (AMSI) esté activada y configurada correctamente con una solución antivirus robusta como Microsoft Defender Antivirus.
  • Rota las claves de máquina ASP.NET de SharePoint Server. Si sospechas o confirmas que has sido afectado, es crucial rotar estas claves, ya que los atacantes podrían haberlas robado para mantener un acceso persistente a tus servidores.
  • Asegúrate de tener copias de seguridad recientes, verificadas y que estén aisladas de la red de producción para protegerte contra ataques de ransomware o borrado de datos.
  • Concienciar al personal: recuerda a tus empleados la importancia de las políticas de seguridad y la detección de posibles correos electrónicos de phishing o actividades sospechosas que podrían explotar vulnerabilidades relacionadas.

Imagen: Flux Schnell

[…]

La entrada Alerta crítica en Microsoft SharePoint: qué es, qué ha pasado y cómo deben actuar las empresas afectadas se publicó primero en Marketing4eCommerce.