Un ataque global contra servidores Microsoft SharePoint utilizados por miles de agencias gubernamentales y empresas es probablemente obra de un solo actor, según investigadores de ciberseguridad que analizaron la consistencia de estrategias empleadas durante la campaña lanzada el viernes pasado.
Microsoft emitió alerta sobre "ataques activos" a servidores SharePoint aprovechando vulnerabilidad previamente desconocida, conocida como "día cero". La compañía aseguró que SharePoint Online en Microsoft 365, versión en la nube, no se vio afectada por este exploit específico.
Rafe Pilling, director de Inteligencia de Amenazas de Sophos, explicó que la consistencia en las estrategias de ataque observadas sugiere un solo actor, aunque advirtió que esta situación "podría cambiar rápidamente" si otros grupos adoptan la misma técnica de explotación.
La técnica empleada incluía envío de la misma carga digital a múltiples objetivos, indicando metodología coordinada y sistemática. Microsoft proporcionó actualizaciones de seguridad y alentó a clientes a instalarlas inmediatamente para mitigar riesgos de compromiso adicional en sus sistemas internos.
Según datos del motor de búsqueda Shodan, que identifica equipos conectados a internet, más de 8.000 servidores en línea podrían ya haber sido comprometidos por piratas informáticos que aprovecharon esta vulnerabilidad de día cero en sistemas SharePoint susceptibles.
Entre servidores comprometidos se incluyen importantes empresas industriales, bancos, auditores, compañías de atención sanitaria y varias entidades gubernamentales internacionales y estatales de Estados Unidos, creando amplio nivel de compromiso en variedad de organizaciones críticas a nivel mundial.
El FBI declaró estar al tanto de los ataques y trabajando estrechamente con socios federales y del sector privado, pero no ofreció detalles adicionales sobre investigación en curso. Tampoco está claro quién está detrás del ataque informático de alcance internacional.
El Washington Post informó que actores no identificados aprovecharon falla en días recientes para lanzar ataque dirigido contra agencias y empresas estadounidenses e internacionales, ampliando significativamente el alcance geográfico y sectorial del compromiso de seguridad detectado inicialmente.
Daniel Card de consultora británica PwnDefend señaló que el incidente SharePoint parece haber creado "amplio nivel de compromiso" en variedad de servidores globalmente, subrayando magnitud y alcance sin precedentes de esta campaña de ciberataques coordinada.
Card advirtió que es prudente adoptar enfoque basado en "suposición de brecha", asumiendo que sistemas ya están comprometidos. También enfatizó que simplemente aplicar parche correctivo no es suficiente para restaurar completamente la seguridad de sistemas afectados.
La vulnerabilidad de día cero representa tipo particularmente peligroso de falla de seguridad porque desarrolladores no tenían conocimiento previo de su existencia, dejando sistemas expuestos sin defensas específicas hasta que se descubrió y comenzó la explotación maliciosa activa.
SharePoint es ampliamente utilizado por organizaciones para compartir documentos, colaborar en proyectos y gestionar contenido interno, convirtiendo su compromiso en amenaza significativa para confidencialidad e integridad de información empresarial y gubernamental sensible almacenada en estos sistemas.
El Centro Nacional de Ciberseguridad del Reino Unido no respondió inmediatamente a solicitudes de comentarios sobre el incidente, mientras autoridades internacionales evalúan impacto total y coordinan respuesta apropiada ante esta amenaza de seguridad cibernética de alcance global sin precedentes.
Expertos recomiendan que organizaciones afectadas implementen inmediatamente actualizaciones de seguridad, realicen auditorías exhaustivas de sistemas, cambien credenciales comprometidas y consideren medidas adicionales de monitoreo y detección para identificar actividad maliciosa persistente en sus redes corporativas.
Este incidente subraya creciente sofisticación de amenazas cibernéticas globales y necesidad crítica de implementar estrategias proactivas de ciberseguridad, incluyendo actualizaciones regulares, monitoreo continuo y planes de respuesta ante incidentes para proteger infraestructura digital crítica empresarial y gubernamental.
