Los sistemas vulnerados tras la explotación de la falla de día cero en Microsoft SharePoint pertenecen a 145 organizaciones en 41 países. Expertos advierten que los atacantes no actuaron al azar, sino con objetivos estratégicos bien definidos.
La vulnerabilidad crítica de día cero en Microsoft SharePoint informada hace algunos días atrás e identificada como parte de la cadena de explotación conocida como ToolShell (CVE-2025-53770 y CVE-2025-53771), ya ha comprometido al menos 396 sistemas y afectado a 145 organizaciones únicas en 41 países, según informó la empresa holandesa de ciberseguridad Eye Security.
El análisis, realizado entre el 18 y el 23 de julio de 2025, examinó 27 mil servidores SharePoint, y reveló que las infecciones no fueron aleatorias. “Desde los datos, es evidente que esto no fue una campaña oportunista. Los atacantes sabían exactamente lo que buscaban”, aseguró Lodi Hensen, vicepresidente de operaciones de seguridad en Eye Security. La firma señaló que los ciberdelincuentes parecieron concentrar sus esfuerzos en objetivos de valor estratégico o de inteligencia, descartando a muchas otras organizaciones igualmente vulnerables.
Uno de los hallazgos más relevantes del estudio fue la alta proporción de víctimas en el sector gubernamental, que representa el 30% de las organizaciones comprometidas. Si bien las agencias afectadas no han emitido declaraciones oficiales, se cree que entre las víctimas se encuentran la Agencia Nacional de Seguridad Nuclear Estados Unidos, así como el Departamento de Salud y Servicios Humanos y el Departamento de Seguridad Nacional de ese país. El uso de SharePoint en instalaciones locales por parte de agencias gubernamentales para mantener mayor control sobre su información ha sido uno de los factores de exposición.
Estados Unidos encabeza la lista de países afectados, representando el 31% de las organizaciones vulneradas. Le siguen la Republica insular de Mauricio, en África (8%), Alemania (7%) y Francia (5%). Eye Security llamó la atención sobre el caso de Mauricio, indicando que el volumen de ataques sugiere un interés particular, posiblemente relacionado con la fuerte presencia de entidades gubernamentales estadounidenses en esa región. También se identificaron dos organizaciones afectadas en Jordania, ambas sometidas a un volumen de ataques «inusualmente alto».
Aunque en un inicio Microsoft atribuyó los ataques a grupos vinculados con el gobierno chino -incluyendo Linen Typhoon, Violet Typhoon y Storm-2603-, la disponibilidad pública del exploit en herramientas como Metasploit ha facilitado que actores con menos capacidades técnicas también puedan aprovechar la falla. “Una vez que los detalles técnicos de un día cero se hacen públicos, tanto actores estatales como grupos criminales con motivaciones económicas suelen sumarse a los ataques”, advirtió Hensen.
El impacto de esta vulnerabilidad no se limita al sector gubernamental. El sector educativo representa el 13% de las organizaciones afectadas, seguido por proveedores de servicios SaaS (9%), telecomunicaciones (4%) y redes eléctricas (4%). La diversidad de sectores afectados subraya el alcance potencial de esta campaña.
Eye Security comenzó a notificar a sus clientes y socios sobre la amenaza el 21 de julio y actualmente insta a todas las organizaciones que utilicen SharePoint en entornos locales a asumir que han sido comprometidas, asegurarse de haber aplicado los parches correspondientes y realizar una búsqueda proactiva de amenazas para detectar posibles infiltraciones. La firma concluye que es muy probable que los ataques continúen en las próximas semanas, incluyendo nuevas variantes de ransomware y amenazas dirigidas a la cadena de suministro.