Alerta global por vulnerabilidades críticas zero-day en Microsoft SharePoint Server

Última actualización: julio 25, 2025
Autor: Prodad Software
  • Dos vulnerabilidades zero-day en SharePoint Server han sido explotadas a nivel mundial desde julio.
  • Los ataques permiten ejecución remota de código y robo de claves criptográficas sin autenticación previa.
  • Microsoft publicó parches de emergencia, pero la amenaza persiste especialmente en entornos locales.
  • Agencias gubernamentales, empresas críticas y el sector privado están entre los principales afectados.

Imagen de SharePoint Server en entorno empresarial

Una oleada de ciberataques coordinados apunta contra servidores Microsoft SharePoint locales tras la detección y explotación de dos vulnerabilidades críticas de tipo zero-day. Desde inicios de julio se han registrado incidentes en decenas de países, afectando a más de 400 organizaciones de sectores estratégicos, desde agencias gubernamentales y energéticas hasta universidades, hospitales y grandes empresas privadas, con serios riesgos para la integridad y confidencialidad de los datos corporativos.

La naturaleza de estos fallos ha puesto en jaque la seguridad de infraestructuras locales (on-premises) de SharePoint Server, mientras la versión en la nube dentro de Microsoft 365 permanece fuera de peligro. La rapidez y la sofisticación de los ataques han obligado a Microsoft y a las autoridades internacionales de ciberseguridad a declarar una situación de alerta máxima en todo el mundo, subrayando la urgencia de adoptar medidas correctivas inmediatas por parte de los administradores de sistemas.

Detalles técnicos de las vulnerabilidades explotadas

Pantalla técnica de seguridad SharePoint

Los ataques están explotando las identificadas CVE-2025-53770 y CVE-2025-53771, que afectan a SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016. En cambio, los entornos de SharePoint Online integrados en Microsoft 365 no presentan este riesgo. El mecanismo aprovechado por los atacantes consiste en un fallo de “deserialización de datos no confiables” que, combinado en cadena, permite la ejecución remota de código sin autenticación y otorga el control absoluto del servidor comprometido.

La explotación de estas brechas ha resultado especialmente dañina porque evade las medidas correctivas de actualizaciones anteriores, logrando sortear los parches lanzados tras las vulnerabilidades CVE-2025-49706 y CVE-2025-49704. Una vez obtenida la entrada, los atacantes pueden extraer claves criptográficas y desplegar backdoors persistentes, facilitando el acceso recurrente incluso después de aplicar ciertos parches.

Microsoft 365 PDF Export LFI
Artículo relacionado:
Vulnerabilidad de LFI en la exportación a PDF de Microsoft 365: un grave riesgo de seguridad ya corregido

Alcance global y grupos responsables

Impacto internacional de vulnerabilidades SharePoint

Según fuentes de ciberseguridad de renombre, organizaciones en Estados Unidos, Alemania, Francia, España, Brasil y Australia se encuentran entre las más afectadas. Entre los objetivos destacan instituciones gubernamentales clave, como la Administración Nacional de Seguridad Nuclear estadounidense (NNSA), el NIH, instituciones académicas y grandes empresas del sector energético.

Las investigaciones han llevado a la atribución de estos ataques a tres grupos presuntamente vinculados a intereses estatales chinos: Linen Typhoon, Violet Typhoon y Storm-2603. Los dos primeros estarían motivados por estrategias de ciberespionaje, mientras que Storm-2603 ha desplegado técnicas más agresivas, como el uso de ransomware para extorsión económica. Tanto las agencias de seguridad internacionales como empresas privadas, incluidas Google Mandiant, ESET y Palo Alto Networks, forman parte activa en el seguimiento e investigación de la campaña.

Respuesta de Microsoft y recomendaciones urgentes

A raíz de la oleada de incidentes, Microsoft ha puesto en marcha una serie de parches de emergencia para las versiones afectadas de SharePoint, aunque en el caso de SharePoint 2016 las actualizaciones definitivas aún están en desarrollo. La compañía aconseja a las organizaciones afectadas desconectar temporalmente los servidores de internet hasta reforzar su seguridad, rotar todas las claves criptográficas (machine keys) y reiniciar los servicios IIS relacionados.

Entre las recomendaciones adicionales destacan:

  • Implementar la protección AMSI (Antimalware Scan Interface) y activar Microsoft Defender para Endpoint.
  • Auditar exhaustivamente los registros y eventos recientes para identificar accesos o acciones sospechosas.
  • Limitar la exposición de los servidores SharePoint únicamente a redes internas y confiables.
  • Solicitar servicios profesionales de respuesta forense si se sospecha de un compromiso ya producido.

Implicaciones para empresas y administraciones públicas

Este incidente pone de manifiesto la dificultad para proteger entornos colaborativos locales frente a amenazas avanzadas y persistentes, en especial en organizaciones que por razones de compliance, control interno o costes siguen evitando la migración total a la nube. La situación ha puesto en entredicho los procesos internos de gestión de actualizaciones de Microsoft, ya que algunos parches iniciales resultaron insuficientes. Además, refuerza la necesidad de adoptar estrategias de Zero Trust y segmentación de red en todos los entornos.