WASHINGTON.— Hackers aprovecharon una falla de seguridad en un software común de Microsoft Corp. para infiltrarse en gobiernos, empresas y otras organizaciones en todo el mundo y robar información sensible, según funcionarios y expertos en ciberseguridad.
Durante el fin de semana, Microsoft lanzó un parche para corregir la vulnerabilidad en los servidores del software de gestión documental SharePoint. La empresa informó que aún está trabajando en implementar otras soluciones tras advertencias de que los atacantes estaban aprovechando esa falla para acceder a sistemas de archivos y ejecutar código malicioso.
Distintos grupos de hackers están lanzando ataques a través de esta vulnerabilidad, según representantes de las firmas de ciberseguridad CrowdStrike Holdings Inc. y Mandiant Consulting de Google.
De acuerdo con una fuente familiarizada con el tema, los piratas informáticos ya utilizaron esta falla para ingresar a sistemas de gobiernos nacionales en Europa y Medio Oriente. En Estados Unidos, lograron acceder a sistemas del gobierno, incluidos los del Departamento de Educación, el Departamento de Ingresos de Florida y la Asamblea General de Rhode Island. La fuente pidió mantener el anonimato por tratarse de información sensible.
Ni el Departamento de Educación ni la legislatura de Rhode Island respondieron a llamadas ni correos electrónicos el lunes. Por su parte, la portavoz del Departamento de Ingresos de Florida, Bethany Wester Cutillo, señaló en un correo que la vulnerabilidad en SharePoint está siendo investigada “a múltiples niveles del gobierno”, pero que esa agencia “no comenta públicamente sobre el software que utilizamos para nuestras operaciones”.
Los hackers también vulneraron los sistemas de un proveedor de salud estadounidense y atacaron una universidad pública en el sudeste asiático, según un informe revisado por Bloomberg News. El documento no identifica a estas entidades, pero señala que los atacantes intentaron vulnerar servidores de SharePoint en países como Brasil, Canadá, Indonesia, España, Sudáfrica, Suiza, Reino Unido y Estados Unidos. La firma que elaboró el informe pidió no ser nombrada por la sensibilidad del asunto.
En varios de los sistemas comprometidos, los hackers robaron credenciales de inicio de sesión, incluidos nombres de usuario, contraseñas, códigos hash y tokens, según otra fuente cercana al caso.
“Se trata de una amenaza de alta gravedad y urgencia”, advirtió Michael Sikorski, director de tecnología y jefe de inteligencia de amenazas de Unit 42 en Palo Alto Networks Inc.
“Lo que lo vuelve especialmente preocupante es la integración profunda de SharePoint con la plataforma de Microsoft, incluyendo servicios como Office, Teams, OneDrive y Outlook, que contienen información valiosa para un atacante. Una vez comprometido, el acceso no se limita a un punto: abre la puerta a toda la red”, explicó.
Decenas de miles —o incluso cientos de miles— de empresas e instituciones en todo el mundo utilizan SharePoint de alguna forma para almacenar y colaborar en documentos. Microsoft señaló que los atacantes están apuntando específicamente a clientes que operan servidores de SharePoint desde sus propias redes locales, en lugar de estar alojados y gestionados por la propia compañía, lo que podría limitar el impacto a una fracción de sus usuarios.
Un vocero de Microsoft se negó a hacer comentarios más allá de lo expresado en un comunicado anterior.
“Es un sueño para los operadores de ransomware”, dijo Silas Cutler, investigador de la firma de ciberseguridad Censys, con sede en Michigan. Estimó que más de 10.000 empresas con servidores SharePoint están en riesgo. Estados Unidos concentra la mayor cantidad de estas firmas, seguido por Países Bajos, Reino Unido y Canadá.
Las brechas han generado nuevas críticas a los esfuerzos de Microsoft por reforzar su ciberseguridad tras una serie de fallas de alto perfil. La empresa ha contratado ejecutivos provenientes del gobierno de EE.UU. y celebra reuniones semanales con altos cargos para hacer que su software sea más resistente. Sin embargo, su tecnología ha sido blanco de múltiples ataques devastadores en los últimos años, y un informe del gobierno estadounidense de 2024 describió la cultura de seguridad de Microsoft como necesitada de reformas urgentes.
El Center for Internet Security —que opera un sistema de intercambio de información sobre ciberseguridad para gobiernos estatales y locales en EE.UU.— detectó más de 1.100 servidores en riesgo por la vulnerabilidad en SharePoint, según Randy Rose, vicepresidente de operaciones e inteligencia de seguridad de la entidad. De ellos, más de 100 habrían sido efectivamente hackeados.
Según informó The Washington Post, la brecha afectó a agencias federales y estatales de EE.UU., universidades, compañías energéticas y una empresa de telecomunicaciones asiática, citando a funcionarios estatales e investigadores privados.
Eye Security fue la primera firma en identificar que los atacantes estaban explotando activamente estas vulnerabilidades en una ola de ciberataques que comenzó el viernes, dijo Vaisha Bernard, jefe de hackers y copropietario de la empresa.
Eye Security explicó que la falla permite a los atacantes acceder a los servidores de SharePoint y robar claves que les permiten suplantar usuarios o servicios incluso después de que el servidor haya sido actualizado. Afirmó que los atacantes pueden mantener el acceso a través de puertas traseras o componentes modificados que sobreviven a actualizaciones y reinicios del sistema.
Las vulnerabilidades de SharePoint, conocidas como “ToolShell”, fueron detectadas por primera vez en mayo durante una conferencia de ciberseguridad en Berlín. A principios de julio, Microsoft publicó parches para solucionar los agujeros de seguridad, pero los hackers encontraron otra forma de ingresar.
“Había maneras de evadir los parches”, dijo Bernard. “Eso permitió que ocurrieran estos ataques”. Según el especialista, las intrusiones no fueron dirigidas a objetivos específicos, sino que buscaron comprometer a la mayor cantidad de víctimas posible. Tras escanear unos 8.000 servidores SharePoint, Bernard identificó al menos 50 que fueron comprometidos con éxito.
Se negó a revelar la identidad de las organizaciones atacadas, pero indicó que incluían agencias gubernamentales y empresas privadas, incluidas “grandes multinacionales”. Las víctimas estaban ubicadas en países de América del Norte y del Sur, la Unión Europea, Sudáfrica y Australia.
