Desde hace poco, la comunidad de expertos en ciberseguridad se ha puesto en alerta por un nuevo error de día cero (CVE‑2025‑53770) en Microsoft SharePoint Server que, lastimosamente, ha sido explotado ampliamente en ataques activos que afectan a decenas de miles de servidores on‑premise. El incidente posiblemente ha sacudido tanto a sectores públicos como privados, desde agencias gubernamentales y universidades hasta empresas de energía y telecomunicaciones .
¿Por qué esta vulnerabilidad es particularmente peligrosa?
Este exploit o vulnerabilidad de día cero permite la ejecución remota de código sin autenticación. Los atacantes pueden robar claves criptográficas, lo que les permite mantener el acceso incluso después de aplicar parches. Además, con acceso al servidor SharePoint, pueden moverse lateralmente hacia servicios conectados como Outlook, OneDrive o Teams, lo cual, puede volverse toda una pesadilla en términos de ciberseguridad y, sobre todo, con posibilidades de termina en un ransomware.
Alcance del ataque
La vulnerabilidad se está explotando en múltiples oleadas desde el 18 de julio, afectando tanto a gobiernos estadounidenses, europeos y latinoamericanos, como a sectores estratégicos como el energético . Hasta ahora se han identificado más de 75 servidores comprometidos y se estima que hay miles o decenas de miles de sistemas vulnerables.
¿Qué debe hacer tu organización ahora mismo?
Microsoft ha lanzado parches de emergencia para SharePoint 2019 y SharePoint Subscription Edition, mientras aún trabaja en la versión 2016. Sin embargo, la instalación del parche no es suficiente, algunos expertos recomiéndan:
- Desconexión inmediata de servidores expuestos en Internet, en caso de no contar con mitigaciones disponibles.
- Rotación de claves criptográficas, no solo aplicar el parche, ya que los atacantes podrían permanecer dentro.
- Implementación de defensas adicionales: habilitar AMSI, Defender AV, Defender for Endpoint, y monitoreo de actividades sospechosas .
- En caso de suponer que hay algún tipo de compromiso: evaluar registros, preservar artefactos forenses y revisar conexiones laterales .
Cosas a tener en cuenta…
Este incidente pone de relieve una tendencia preocupante: muchos sistemas críticos aún se mantienen en infraestructuras locales, sin la protección o monitoreo suficiente que brinda la nube. También enfatiza la necesidad de una respuesta multidimensional: parches inmediatos, mitigaciones técnicas y, sobre todo, acciones defensivas que asuman el peor escenario.
Este día cero en SharePoint no sólo puede llegar a subrayar una falla técnica, sino una grieta en la cultura de seguridad organizacional: en un mundo interconectado, es insuficiente reaccionar. La pregunta ya no es si será atacado, sino cuándo y qué tan preparado está para responder.
Finalmente, es importante señalar que cuando una organización sufre de la materialización de un ransomware (secuestro de datos), tiene que considerar las dos partes de la ecuación, y no sólo concentrarse en el daño que esto genera al interior con las consecuencias naturales que esto trae desde el punto de responsabilidades individuales y colectivas sino, también, considerar el posible impacto a los individuos dentro de la organización.
