Un ciberataque contra servidores de Microsoft compromete infraestructuras clave en EEUU y Europa

Piratas informáticos detectaron una importante vulnerabilidad en un software de servidor de Microsoft, para lanzar un ataque global contra agencias gubernamentales y empresas en los últimos días, logrando vulnerar agencias federales y estatales de EEUU, universidades, compañías energéticas y una empresa de telecomunicaciones asiática, según funcionarios estatales e investigadores privados.

El gobierno de Estados Unidos, junto con sus socios en Canadá y Australia, está investigando la vulneración de servidores SharePoint, una plataforma utilizada para compartir y gestionar documentos. Según los expertos, decenas de miles de estos servidores están en riesgo, y Microsoft no ha emitido aún un parche para la falla, dejando a las víctimas en todo el mundo tratando de responder con urgencia.

El ataque, conocido como de “día cero” por explotar una vulnerabilidad previamente desconocida, representa el más reciente revés en materia de ciberseguridad para Microsoft. El año pasado, un panel de expertos del gobierno de EEUU y del sector privado responsabilizó a la empresa por fallos que permitieron un hackeo dirigido desde China a correos electrónicos gubernamentales en 2023, incluidos los de la entonces secretaria de Comercio, Gina Raimondo.

Según las autoridades, este ataque reciente afecta solo a servidores alojados dentro de organizaciones, no a los que operan en la nube, como los servicios de Microsoft 365. la empresa ha sugerido a los usuarios modificar la configuración de los programas de servidor de SharePoint o desconectarlos de internet para detener la intrusión. Microsoft envió una alerta a sus clientes, pero no emitió comentarios adicionales.

“Cualquiera que tenga un servidor SharePoint alojado tiene un problema”, advirtió Adam Meyers, vicepresidente senior de CrowdStrike, una firma de ciberseguridad. “Es una vulnerabilidad significativa”.

El FBI indicó en un comunicado que estaba al tanto del problema. “Estamos trabajando estrechamente con nuestros socios del gobierno federal y del sector privado”, afirmó.

“Estamos observando intentos de explotar miles de servidores SharePoint en todo el mundo antes de que haya un parche disponible”, dijo Pete Renals, gerente senior de la unidad 42 de Palo Alto Networks. “Hemos identificado decenas de organizaciones comprometidas, tanto en el sector público como en el privado”.

La empresa de investigación Eye Security, con sede en los Países Bajos, señaló que, al obtener acceso a estos servidores, que a menudo están vinculados a servicios como Outlook y Teams, los atacantes pueden robar datos sensibles y recopilar contraseñas. Lo más preocupante, según los investigadores, es que los hackers han conseguido claves que podrían permitirles volver a ingresar incluso después de que los sistemas sean parchados.

“Lanzar un parche el lunes o martes no ayuda a quienes fueron comprometidos en las últimas 72 horas”, afirmó un investigador que pidió permanecer en el anonimato debido a que la investigación federal está en curso.

Aún no está claro quién está detrás de este hackeo de alcance global ni cuál es su objetivo final. Una empresa privada detectó que los atacantes estaban apuntando a servidores en China y también a una legislatura estatal en el este de Estados Unidos. Eye Security reportó más de 50 violaciones, incluyendo una compañía energética en un estado grande y varias agencias gubernamentales en Europa.

Según los investigadores, al menos dos agencias federales de EEUU han visto sus servidores comprometidos, aunque no se han revelado sus nombres debido a acuerdos de confidencialidad con las víctimas.

Un funcionario estatal en el este de EEUU indicó que los atacantes “secuestraron” un repositorio de documentos públicos destinados a explicar a los ciudadanos el funcionamiento del gobierno. La agencia ya no tiene acceso al material, y no está claro si fue eliminado.

“Necesitaremos volver a poner estos documentos a disposición en otro repositorio”, dijo el funcionario bajo condición de anonimato para hablar sobre una situación en desarrollo.

Ataques de tipo “wiper” como este son poco comunes, y el hecho ha generado alarma en otros estados a medida que se difundió la noticia. Algunas empresas de seguridad indicaron que no han detectado eliminación de datos en los ataques a SharePoint, pero sí el robo de claves criptográficas que permitirían a los atacantes reingresar a los servidores.

En Arizona, funcionarios de ciberseguridad se reunieron con autoridades estatales, locales y tribales para evaluar posibles vulnerabilidades y compartir información.

“Definitivamente hay una carrera frenética en todo el país en este momento”, dijo una persona familiarizada con la respuesta estatal.

Las violaciones ocurrieron luego de que Microsoft corrigiera otra falla de seguridad este mes. Los atacantes descubrieron que podían aprovechar una vulnerabilidad similar, según la Agencia de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional (CISA).

Marci McCarthy, portavoz de CISA, señaló que una firma de investigación alertó a la agencia el viernes, y que se contactó inmediatamente con Microsoft.

En el pasado, Microsoft ha sido criticada por emitir parches demasiado específicos que dejan abiertas vías similares a otros ataques. La compañía, una de las mayores proveedoras de tecnología para gobiernos, ha sufrido en los últimos dos años otras brechas significativas, incluidas intrusiones en sus redes corporativas y en correos electrónicos de sus ejecutivos. Un error de programación en sus servicios en la nube también permitió que hackers respaldados por China robaran correos electrónicos de funcionarios federales.

El viernes, Microsoft anunció que dejará de utilizar ingenieros con base en China para brindar soporte a programas de computación en la nube del Departamento de Defensa, después de que un informe del medio de investigación ProPublica revelara esa práctica, lo que llevó al secretario de Defensa, Pete Hegseth, a ordenar una revisión de los contratos del Pentágono en la nube.

El Centro para la Seguridad de Internet, una organización sin fines de lucro que opera un grupo de intercambio de información para gobiernos estatales y locales, notificó a unas 100 organizaciones sobre su vulnerabilidad y posible compromiso, según Randy Rose, vicepresidente de la entidad. Entre los alertados se incluyen escuelas públicas y universidades.

El proceso de notificación tomó seis horas la noche del sábado, mucho más de lo habitual, ya que los equipos de inteligencia de amenazas y respuesta a incidentes han sido reducidos en un 65 % tras recortes presupuestarios en CISA, indicó Rose.

A pesar de que CISA está actualmente dirigida por un director interino —ya que el nominado Sean Plankey no ha sido confirmado—, los funcionarios de la agencia “han estado trabajando sin descanso” en este tema, dijo McCarthy. “Nadie ha estado dormido al volante”.

Otras víctimas del ataque incluyen una agencia gubernamental en España, una oficina local en Albuquerque y una universidad en Brasil, según investigadores en ciberseguridad.

© 2025, The Washington Post.