Desde principios de julio, una campaña de ciberataques coordinada ha puesto en jaque a más de 400 organizaciones en todo el mundo mediante la explotación de vulnerabilidades críticas en servidores Microsoft SharePoint on-premises. La propia compañía confirmó el pasado 22 de julio que el ataque ha sido atribuido a tres grupos con presuntos vínculos al gobierno chino: Linen Typhoon, Violet Typhoon y Storm-2603. El incidente representa una de las ofensivas más sofisticadas y amplias registradas contra infraestructuras empresariales locales en lo que va del año.
Los atacantes habrían explotado dos vulnerabilidades graves (CVE‑2025‑53770 y CVE‑2025‑53771), reveladas inicialmente durante la conferencia Pwn2Own, que permiten la ejecución remota de código y el robo de Machine Keys, lo que facilita la instalación de puertas traseras permanentes en los sistemas afectados. A pesar de que Microsoft publicó un parche inicial en junio, este resultó ineficaz para detener la intrusión, y no fue sino hasta el Patch Tuesday de julio cuando se lanzó una actualización efectiva. Para entonces, cientos de sistemas ya habían sido comprometidos.
Entre los objetivos se encuentran agencias gubernamentales estadounidenses como la Administración Nacional de Seguridad Nuclear (NNSA), los Institutos Nacionales de Salud (NIH) y diversas universidades y empresas del sector energético. Aunque no se ha confirmado la filtración de datos clasificados, el ataque ha dejado al descubierto la fragilidad de muchas organizaciones que aún operan en entornos híbridos o no han migrado completamente a la nube.
Según Microsoft, los grupos implicados tienen un perfil claro. Linen Typhoon y Violet Typhoon se dedican principalmente al ciberespionaje, con motivaciones político-estratégicas, mientras que Storm‑2603 ha adoptado tácticas orientadas al lucro, incluyendo el despliegue de ransomware como Warlock o variantes de Lockbit. El uso combinado de explotación remota, robo de credenciales y cifrado de archivos indica un cambio significativo hacia operaciones cibernéticas más agresivas, que combinan espionaje con extorsión financiera.
Como respuesta, Microsoft ha emitido recomendaciones urgentes: aplicar los últimos parches sin demora, desconectar temporalmente los servidores on-premises no actualizados, rotar las claves criptográficas afectadas y activar mecanismos de detección como AMSI y escáneres antimalware en entornos locales. Además, se insiste en el uso de prácticas de Zero Trust y segmentación de red para contener posibles movimientos laterales de actores maliciosos.
Desde la perspectiva tecnológica y empresarial, este ciberataque pone en entredicho el modelo operativo de miles de organizaciones que aún dependen de soluciones locales por razones de compliance, control interno o ahorro de costes. El caso evidencia que los entornos on-premises no solo son más vulnerables por su arquitectura, sino que también son más difíciles de proteger en entornos de amenaza persistente avanzada (APT).
El hecho de que una vulnerabilidad conocida no fuera mitigada de forma inmediata, y que los parches emitidos inicialmente no fuesen suficientes, añade una dimensión crítica a la responsabilidad del proveedor. Microsoft, que en los últimos meses ha defendido su Secure Future Initiative y la transición hacia soluciones cloud seguras, enfrenta ahora una ola de críticas por su proceso de revisión y prueba de actualizaciones críticas.
Milei impulsa una criptomoneda y luego da marcha atrás por miedo a una estafa
