Microsoft contra las cuerdas: conocía el fallo de seguridad de SharePoint, pero el parche llegó tarde y mal

No cabe duda de que la compañía de Satya Nadella ahora mismo no está pasando por su mejor momento, tras descubrirse una grave vulnerabilidad en su plataforma SharePoint, usada por miles de empresas y organismos.

Lo preocupante aquí no es solo el fallo en sí, sino que Microsoft sabía de esta vulnerabilidad desde mayo, pero el parche que lanzó en julio no fue suficiente para frenarla, lo que permitió un aumento masivo de ciberataques que afectaron a unas 100 organizaciones en todo el mundo.

El problema fue detectado por primera vez en una competición de hackers en Berlín que ofrecía grandes recompensas por encontrar vulnerabilidades de día cero, es decir, fallos que aún no habían sido descubiertos públicamente y que son especialmente peligrosos. Un investigador vietnamita fue el que dio la voz de alarma al detectar este problema, bautizado como 'ToolShell', y demostró cómo podía explotarse este fallo.

Aunque Microsoft reaccionó y lanzó un parche a principios de julio, los expertos en ciberseguridad advirtieron que la solución no cerraba completamente todo este grave problema. 

El número maldito de la tecnología: por qué nunca existieron Windows 9 ni iPhone 9, el secreto mejor guardado de Microsoft y Apple

Pasados unos días, empezaron a detectarse ataques masivos dirigidos a servidores SharePoint vulnerables en todo el mundo. Los hackers, supuestamente ligados al gobierno chino, especialmente los grupos conocidos como 'Linen Typhoon', 'Violet Typhoon' y 'Storm-2603', empezaron a explotar el fallo.

Con esto consiguieron acceder de manera remota a servidores sin necesidad de credenciales, lo que les permitió ejecutar código malicioso, robar información o incluso instalar puertas traseras para mantener el control, incluso después de reinicios. El desastre que consiguieron hacer fue tal que el FBI tuvo que intervenir y coordinar esfuerzos internacionales para mantener la amenaza.

Sin ir más lejos, la Administración Nacional de Seguridad Nuclear de EEUU, responsable de la custodia del arsenal nuclear, fue uno de los objetivos de estos ataques, aunque según Bloomberg no se detectó que información clasificada haya sido comprometida.

Por si fuera poco, la cantidad de servidores vulnerables es gigantesca. Según el motor de búsqueda Shodan, que rastrea dispositivos conectados a internet, más de 8.000 servidores SharePoint podían ser explotados fácilmente con este fallo, y la Fundación Shadowserver estima que el número real supera las 9.000 máquinas, con la mayoría ubicadas en Estados Unidos y Alemania.

Me han estafado 42.000 euros con un ciberataque "casi perfecto", pero he aprendido varias cosas que deberías tener en cuenta

El fallo estaba detectado, pero el parche no tapó bien

Pese a ese parche que la compañía lanzó en julio, queda claro que el parche no había resuelto del todo la vulnerabilidad, y los hackers, que no suelen perder el tiempo, ya estaban sacando partido. 

Como siempre, cuando se encuentra un hueco por el que colarse y hacer daño, no se queda en manos de uno o dos curiosos. El ataque se extendió rápido. Microsoft, en un comunicado, dijo que "dos grupos de hackers chinos, conocidos como Linen Typhoon y Violet Typhoon, estaban explotando el fallo, junto con un tercer grupo aún no identificado pero también, supuestamente, chino". 

Ni cortos ni perezosos, Microsoft y Google confirmaron que todo apuntaba a equipos de ciberespionaje ligados directamente a grupos que operan bajo la órbita de Pekín. Desde China desmintieron cualquier vínculo, y en una nota oficial dijeron que se oponen a los ciberataques "en todas sus formas" y que ya está bien de "acusar sin pruebas sólidas".

El mejor antivirus lo tiene Microsoft, aunque muchos usuarios desconocen todo lo que ofrece

Uno de los puntos que más molestan a muchos expertos es que esto ya había pasado antes. No con exactamente el mismo fallo, pero sí con otros en SharePoint. La herramienta es muy usada, pero históricamente ha tenido más de una grieta en su sistema de seguridad, y cada vez que aparece una, miles de empresas se echan a temblar.

Lo que más molesta, tal vez, es que Microsoft tenía toda la información desde mayo y no fue capaz de cerrar bien todo hasta bien entrado julio. Y eso, en este sector, es una eternidad. 

Sophos, otra gran empresa de seguridad, confirmó en un artículo que los atacantes no solo usaron el fallo original, sino que evolucionaron sus métodos para saltarse incluso el parche mal aplicado. Sabían exactamente cómo moverse y eso es lo que deja a Microsoft en una posición complicada.

¿Cómo se puede proteger una empresa ante este tipo de ataques?

Lo primero y más urgente es instalar inmediatamente las actualizaciones de seguridad dadas por Microsoft para todas las versiones soportadas de SharePoint, en particular las versiones Subscription Edition, 2016 y 2019. Estas actualizaciones corrigen el fallo conocido como CVE-2025-53770 y otro relacionado, y son la base para detener los ataques.

Además, es vital activar correctamente el sistema Antimalware Scan Interface (AMSI) y asegurarse de contar con un software antivirus potente, como Microsoft Defender, configurado para proteger los servidores. También se recomienda rotar las claves internas de seguridad (llamadas keys ASP.NET) y reiniciar los servicios, para evitar que el atacante mantenga el control tras la aplicación de los parches.

Otros artículos interesantes: