Un ataque masivo a los servidores de Microsoft pone a China en el ojo de la tormenta

Una operación de ciberespionaje a gran escala ha comprometido a cerca de 100 organizaciones mediante una vulnerabilidad crítica en servidores on-premise de Microsoft SharePoint, según revelaron la firma Eye Security y la Fundación Shadowserver.

El ataque, clasificado como de tipo ''zero-day'' por aprovechar una falla previamente desconocida, ha generado alarma internacional por su alcance, sofisticación y posible origen vinculado a actores estatales chinos.

Microsoft emitió una alerta el sábado sobre ''ataques activos'' contra versiones autoalojadas de SharePoint, software ampliamente utilizado por empresas e instituciones gubernamentales para la gestión de documentos y colaboración interna. Las versiones basadas en la nube de SharePoint no se vieron afectadas.

Vaisha Bernard, director de hacking en Eye Security, indicó que un escaneo realizado junto con Shadowserver identificó cerca de 100 servidores comprometidos antes de que la vulnerabilidad fuera ampliamente conocida. Dicha cifra se considera conservadora, y se teme que actores maliciosos hayan implantado puertas traseras (backdoors) adicionales en sistemas aún no identificados.

Shadowserver confirmó estos hallazgos y señaló que la mayoría de los afectados se ubican en Estados Unidos y Alemania, incluyendo varias entidades gubernamentales. El alcance real podría ser mucho mayor: la herramienta Shodan identificó más de 8.000 servidores potencialmente expuestos, mientras Shadowserver estimó más de 9.000.

Microsoft atribuyó con ''alta confianza'' parte de los ataques a actores con nexos con China, en particular los grupos conocidos como Linen Typhoon, Violet Typhoon y Storm-2603.

Estos grupos ya han sido previamente identificados como responsables de campañas de ciberespionaje dirigidas a obtener propiedad intelectual y datos estratégicos. Linen Typhoon, por ejemplo, ha centrado sus ataques durante más de una década en organizaciones gubernamentales, de defensa, planificación estratégica y derechos humanos.

Por su parte, Violet Typhoon ha apuntado a ONGs, universidades, medios de comunicación y sectores financieros y de salud en Estados Unidos, Europa y Asia Oriental.

El portavoz de la embajada china en Washington negó las acusaciones y afirmó que su país ''se opone firmemente a todo tipo de ataques y crímenes cibernéticos'', y rechazó la falta de pruebas en las imputaciones.

No obstante, expertos en ciberseguridad, confirmaron que se han identificado víctimas en múltiples sectores y países, y que los atacantes utilizaron tácticas similares a campañas previas asociadas con Pekín.

Según los investigadores, el ataque consistió en enviar solicitudes maliciosas a los servidores SharePoint vulnerables, permitiendo a los hackers robar material criptográfico esencial que luego fue utilizado para mantener el acceso a largo plazo a los sistemas comprometidos.

Este acceso extendido convierte el incidente en una amenaza significativa, no solo por el robo de datos, sino por el potencial de manipulación o sabotaje futuro.

Microsoft lanzó actualizaciones de seguridad y recomendó encarecidamente su inmediata instalación. Sin embargo, expertos como Daniel Card, de la firma PwnDefend, advirtieron que aplicar los parches no es suficiente.

Dado que los atacantes podrían haber dejado puertas traseras antes de que se conociera la vulnerabilidad, las organizaciones deben asumir que han sido comprometidas y realizar análisis exhaustivos de sus sistemas.

El FBI, junto con agencias de ciberseguridad de Reino Unido y otros países, confirmó estar al tanto del ataque y trabaja con socios del sector privado para mitigar sus efectos.