Se multiplican las víctimas del ciberataque chino a SharePoint de Microsoft

La cantidad de empresas y organizaciones afectadas por una vulnerabilidad de seguridad en los servidores SharePoint de Microsoft está aumentando con rapidez. En cuestión de días, el número de víctimas se ha multiplicado por más de seis, según la firma de ciberseguridad Eye Security.

Los hackers han comprometido los sistemas de unas 400 agencias gubernamentales, empresas y otros organismos, frente a las 60 estimadas el martes por la misma firma, con sede en Países Bajos, que identificó la primera oleada de ataques.

La mayoría de las víctimas se encuentra en Estados Unidos, seguida por entidades en Mauricio, Jordania, Sudáfrica y los Países Bajos. Entre los organismos afectados figura la Administración Nacional de Seguridad Nuclear, encargada del arsenal atómico de EEUU, según informó anteriormente Bloomberg.

Los Institutos Nacionales de Salud (NIH, por sus siglas en inglés) de EEUU también se vieron afectados por la falla de SharePoint, según una fuente cercana. Andrew Nixon, portavoz del Departamento de Salud y Servicios Humanos, afirmó: “El Departamento y sus equipos de seguridad están trabajando activamente para supervisar, identificar y mitigar todos los riesgos que representa la vulnerabilidad de Microsoft SharePoint en nuestros sistemas informáticos”.

“No tenemos indicios de que se haya filtrado información”, señaló Nixon, y añadió que el departamento está colaborando con Microsoft y la Agencia de Ciberseguridad e Infraestructura de EEUU. El Washington Post ya había informado que los NIH fueron víctimas de un ciberataque.

Estos ataques, atribuidos por Microsoft a grupos vinculados con China, se producen en un contexto de tensiones crecientes entre Washington y Beijing en temas de seguridad y comercio global. EEUU ha acusado reiteradamente a China de robar información gubernamental y corporativa durante años.

El número real de víctimas “podría ser mucho mayor, ya que existen muchas más formas ocultas de comprometer servidores sin dejar rastro”, advirtió Vaisha Bernard, cofundadora de Eye Security, en un correo electrónico a Bloomberg News. “Esto aún está en desarrollo, y otros adversarios oportunistas continúan explotando servidores vulnerables”.

Según Bernard, las organizaciones afectadas operan en sectores gubernamentales, educativos y tecnológicos. También se han reportado casos en países de Europa, Asia, Medio Oriente y América del Sur.

Sveva Scenarelli, analista de amenazas en Recorded Future, explicó que los grupos patrocinados por Estados tienden a explotar vulnerabilidades en oleadas: primero, con ataques silenciosos; luego, de manera más masiva.

“Una vez que obtienen acceso, pueden priorizar objetivos según su interés estratégico”, dijo Scenarelli, del Insikt Group, parte de la firma de ciberinteligencia, y explicó que buscan permanecer dentro de las redes, profundizar su alcance y extraer información sensible.

El secretario del Tesoro de EEUU, Scott Bessent, anticipó que el tema será parte de las discusiones que sostendrá la próxima semana con sus homólogos chinos en Estocolmo. “Obviamente, asuntos como ese estarán en la agenda”, dijo a Bloomberg Television.

Las vulnerabilidades permiten a los hackers ingresar a los servidores de SharePoint y obtener claves que les permiten suplantar identidades dentro de la red, accediendo a sistemas sensibles. Microsoft ya emitió parches, pero los investigadores creen que muchos servidores ya han sido comprometidos.

El martes, Microsoft acusó a hackers patrocinados por el Estado chino, conocidos como Linen Typhoon y Violet Typhoon, de estar detrás de los ataques. Otro grupo con sede en China, al que Microsoft llama Storm-2603, también aprovechó las vulnerabilidades, según la compañía.

(Bloomberg)