Bloomberg — Los piratas informáticos explotaron una falla de seguridad en un software común de Microsoft Corp. (MSFT) para atacar a gobiernos, empresas y otras organizaciones de todo el mundo y robar información confidencial, según funcionarios e investigadores de ciberseguridad.
Microsoft lanzó durante el fin de semana un parche para la vulnerabilidad en los servidores del software de gestión documental SharePoint. La compañía afirmó que seguía trabajando en la implementación de otras soluciones tras las advertencias de que hackers atacaban clientes de SharePoint, utilizando la falla para acceder a los sistemas de archivos y ejecutar código.
Varios piratas informáticos diferentes están lanzando ataques a través de la vulnerabilidad de Microsoft, según representantes de dos empresas de ciberseguridad, CrowdStrike Holdings, Inc. y Mandiant Consulting de Google.
Los hackers ya han utilizado la vulnerabilidad para acceder a los sistemas de gobiernos nacionales en Europa y Medio Oriente, según una persona familiarizada con el asunto. En EE.UU., han accedido a sistemas gubernamentales, incluidos los del Departamento de Educación, el Departamento de Hacienda de Florida y la Asamblea General de Rhode Island, afirmó la persona, que habló bajo condición de anonimato por tratarse de información confidencial.
Ver más: OpenAI y Microsoft respaldan una nueva academia para llevar la IA a las aulas
Representantes del Departamento de Educación y la legislatura de Rhode Island no respondieron a las llamadas ni a los correos electrónicos solicitando comentarios el lunes. Bethany Wester Cutillo, portavoz del Departamento de Ingresos de Florida, declaró en un correo electrónico que la vulnerabilidad de SharePoint se está investigando en varios niveles de gobierno, pero que la agencia estatal no comenta públicamente sobre el software que utilizamos para nuestras operaciones.
Los hackers también vulneraron los sistemas de un proveedor de servicios de salud con sede en EE.UU. y atacaron una universidad pública del Sudeste Asiático, según un informe de una empresa de ciberseguridad revisado por Bloomberg News. El informe no identifica a ninguna de las entidades por su nombre, pero afirma que los hackers han intentado vulnerar servidores de SharePoint en países como Brasil, Canadá, Indonesia, España, Sudáfrica, Suiza, el Reino Unido y EE.UU. La empresa solicitó el anonimato debido a la confidencialidad de la información.
En algunos sistemas en los que han entrado, los piratas informáticos han robado credenciales de inicio de sesión, incluidos nombres de usuario, contraseñas, códigos hash y tokens, según una persona familiarizada con el asunto, que también habló bajo condición de no ser identificada al discutir la información confidencial.
“Esta es una amenaza de alta gravedad y alta urgencia”, dijo Michael Sikorski, director de tecnología y jefe de inteligencia de amenazas de la Unidad 42 en Palo Alto Networks Inc. (PANW).
“Lo que hace que esto sea especialmente preocupante es la profunda integración de SharePoint con la plataforma de Microsoft, incluyendo servicios como Office, Teams, OneDrive y Outlook, que contiene toda la información valiosa para un atacante”, afirmó. “Una vulneración no se mantiene contenida, sino que abre la puerta a toda la red”.
Ver más: Microsoft aún no logra posicionar a Copilot pese a su apuesta multimillonaria por la IA
Decenas de miles, si no cientos de miles, de empresas e instituciones en todo el mundo utilizan SharePoint de alguna manera para almacenar documentos y colaborar en ellos. Microsoft afirmó que los atacantes se dirigen específicamente a clientes que ejecutan servidores de SharePoint desde sus propias redes locales, en lugar de estar alojados y administrados por la empresa tecnológica. Esto podría limitar el impacto a un subsector de clientes.
Un portavoz de Microsoft se negó a hacer comentarios más allá de una declaración anterior.
“Es un sueño para los operadores de ransomware”, afirmó Silas Cutler, investigador de la firma de ciberseguridad Censys, con sede en Michigan. Estimó que más de 10.000 empresas con servidores SharePoint estaban en riesgo. Estados Unidos tenía el mayor número de este tipo de empresas, seguido de los Países Bajos, el Reino Unido y Canadá, añadió.
Las brechas de seguridad han vuelto a poner bajo escrutinio los esfuerzos de Microsoft por reforzar su ciberseguridad tras una serie de fallos de gran repercusión. La empresa ha contratado ejecutivos de instituciones como el gobierno estadounidense y mantiene reuniones semanales con altos ejecutivos para mejorar la resiliencia de su software. La tecnología de la compañía ha sido objeto de varios ataques informáticos generalizados y perjudiciales en los últimos años, y un informe del gobierno estadounidense de 2024 describió la cultura de seguridad de la compañía como una empresa que necesita reformas urgentes.
El Centro para la Seguridad de Internet, que opera un sistema de intercambio de información sobre ciberseguridad para gobiernos estatales y locales en EE.UU., encontró más de 1100 servidores en riesgo debido a la vulnerabilidad de SharePoint, según Randy Rose, vicepresidente de operaciones de seguridad e inteligencia de la organización. Rose indicó que es probable que más de 100 hayan sido hackeados.
El Washington Post informó que la violación había afectado a agencias federales y estatales de EE.UU., universidades, compañías de energía y una empresa de telecomunicaciones asiática, citando a funcionarios estatales e investigadores privados.
Ver más: Microsoft presume ahorro de US$500 millones gracias a la IA en medio de despidos masivos
Eye Security fue el primero en identificar que los atacantes estaban explotando activamente las vulnerabilidades en una ola de ciberataques que comenzó el viernes, dijo Vaisha Bernard, hacker jefe y copropietaria de la compañía.
Eye Security afirmó que la vulnerabilidad permite a los hackers acceder a servidores de SharePoint y robar claves que les permiten suplantar la identidad de usuarios o servicios, incluso después de aplicar la actualización al servidor. Añadió que los hackers pueden mantener el acceso mediante puertas traseras o componentes modificados que resisten las actualizaciones y reinicios de los sistemas.
Las vulnerabilidades de SharePoint, conocidas como “ToolShell”, fueron identificadas por primera vez en mayo por investigadores en una conferencia de ciberseguridad en Berlín. A principios de julio, Microsoft publicó parches para corregir las vulnerabilidades de seguridad, pero los hackers encontraron otra forma de acceder.
“Había maneras de burlar los parches”, lo que permitió a los hackers acceder a servidores de SharePoint aprovechando vulnerabilidades similares, afirmó Bernard. “Eso permitió que estos ataques se produjeran”. Las intrusiones, añadió, no eran selectivas, sino que buscaban comprometer al mayor número posible de víctimas. Tras analizar unos 8.000 servidores de SharePoint, Bernard afirmó haber identificado al menos 50 que fueron comprometidos con éxito.
Se negó a identificar a las organizaciones atacadas, pero afirmó que incluían agencias gubernamentales y empresas privadas, incluidas grandes multinacionales. Las víctimas se encontraban en países de América del Norte y del Sur, la UE, Sudáfrica y Australia, añadió.
Esta nota se actualizó con más detalles a las 18:58 horas de Nueva York.
Lea más en Bloomberg.com
