La plataforma colaborativa de Microsoft, SharePoint, enfrenta una grave crisis de ciberseguridad tras revelarse una vulnerabilidad tipo zero-day, conocida como “ToolShell”. Grupos de ciberdelincuentes han desplegado ataques de ransomware. Según Microsoft, grupos como Storm-2603 estarían utilizando esta brecha para infectar servidores mediante el ransomware Warlock, una amenaza que podría extenderse rápidamente si las organizaciones no actualizan sus sistemas de manera inmediata.
El origen del fallo: una competición de hacking ético
La falla se detectó en mayo de 2025 durante el concurso Pwn2Own, una competencia de hacking ético organizada por Trend Micro. El investigador vietnamita Dinh Ho Anh Khoa logró combinar una vulnerabilidad de deserialización insegura con una omisión de autenticación para obtener acceso a SharePoint, ganando $100,000 por el hallazgo.
Tras el evento, Microsoft emitió una primera actualización de seguridad el 8 de julio. Sin embargo, esa solución resultó insuficiente y fue burlada por los atacantes pocos días después, lo que obligó a la compañía a lanzar una segunda ola de parches que cubren ahora tanto SharePoint 2016 como 2019.
Ransomware en acción: ¿quién está detrás de los ataques?
Microsoft identificó al grupo Storm-2603 como uno de los principales responsables de los ataques, señalando que podrían estar vinculados a China, aunque no se ha confirmado su origen. Además de este grupo, otros actores estatales como Linen Typhoon y Violet Typhoon también se han visto involucrados en intentos de explotación de esta vulnerabilidad, particularmente dirigidos a agencias gubernamentales.
De los 23,000 servidores SharePoint escaneados por la firma de seguridad Eye Security, al menos 400 están comprometidos. Algunos de estos servidores pertenecen a agencias del gobierno de EE.UU., mientras que el Centro Nacional de Seguridad Cibernética del Reino Unido reporta un número limitado de ataques en territorio británico.
¿Qué riesgos implica la vulnerabilidad “ToolShell”?
El ransomware Warlock, desplegado por Storm-2603, bloquea el acceso a los datos de los servidores infectados y exige un pago para liberar la información. Este tipo de ataque puede paralizar el funcionamiento de empresas, organismos públicos y servicios esenciales.
Según expertos como Kevin Robertson, CTO de Acumen Cyber, no solo actores estatales están detrás del uso de ransomware, sino también ciberdelincuentes motivados por ganancias económicas. Robertson advierte que esta vulnerabilidad puede tener un impacto duradero: “Algunos atacantes estatales podrían hacer un reconocimiento profundo antes de lanzar el ransomware, buscando causar el máximo daño posible”.
La respuesta de Microsoft y las medidas recomendadas
Microsoft ha reforzado su postura y emitido nuevas recomendaciones para mitigar los ataques. Entre ellas se incluye el uso de tecnologías como Antimalware Scan Interface y Microsoft Defender Antivirus, así como la aplicación inmediata de los parches más recientes en todas las instancias locales de SharePoint.
Además, la empresa sugiere revisar la autenticación de acceso y establecer políticas estrictas de control de privilegios, con el fin de prevenir accesos no autorizados por parte de actores maliciosos.
Un problema global: la necesidad de tomar acción urgente
El alcance global de SharePoint, utilizado por millones de organizaciones para compartir documentos, coordinar equipos y gestionar proyectos, hace que esta vulnerabilidad sea especialmente preocupante. Las brechas en esta plataforma pueden exponer información sensible, comprometer la continuidad operativa de empresas y facilitar otros vectores de ataque, como el robo de credenciales o el acceso a redes internas.
Microsoft ha advertido que, hasta que todos los sistemas estén correctamente parcheados, se espera que más actores maliciosos intenten explotar esta falla para lanzar sus ataques. Los expertos coinciden en que la velocidad de respuesta será clave para contener el daño.
¿Qué nos dice este incidente sobre la ciberseguridad actual?
Este caso pone de manifiesto varios puntos críticos en el ecosistema tecnológico actual:
- Las vulnerabilidades tipo zero-day siguen siendo el método preferido por los atacantes para infiltrarse en sistemas ampliamente utilizados.
- El ritmo de parcheo y actualización por parte de las empresas suele ser lento, dejando ventanas abiertas que son rápidamente aprovechadas.
- Las soluciones parciales o insuficientes, como ocurrió con el primer parche de Microsoft, pueden multiplicar el riesgo si no son reforzadas a tiempo.
- La ciberseguridad ya no es una cuestión exclusivamente técnica, sino estratégica, que afecta directamente la reputación y operatividad de las organizaciones.
La vulnerabilidad de SharePoint con este ransomware no solo es un recordatorio de los riesgos que enfrentamos en el entorno digital, sino también de la responsabilidad que tienen tanto los fabricantes de software como los administradores de sistemas para mantener seguros sus entornos.
Actualizar, auditar y vigilar los sistemas debe convertirse en una rutina esencial, porque en el mundo digital, la prevención es el primer escudo contra el caos.