Una alarmante vulnerabilidad de día cero, activamente explotada en los servidores locales de Microsoft SharePoint, representa una amenaza significativa e inmediata para las organizaciones de América Latina. La campaña de explotación a gran escala comenzó en torno al fin de semana del 18 de julio de 2025.
La Vulnerabilidad ToolShell: Un Peligro Crítico
La vulnerabilidad, identificada como CVE-2025-53770, afecta a más de 9.000 servidores SharePoint accesibles desde el exterior. Permite a atacantes no autenticados ejecutar código de forma remota, otorgándoles el control total de un servidor. Esto les posibilita robar datos confidenciales, acceder a sistemas de archivos internos y establecer puertas traseras persistentes que pueden sobrevivir a posteriores parches y reinicios del sistema.
Según Satnam Narang, Ingeniero de Investigación Senior de Tenable, «los atacantes fueron capaces de explotar el fallo para robar los detalles de configuración de MachineKey de los servidores SharePoint vulnerables, que incluye tanto una validationKey como una decryptionKey. Estos detalles pueden ser utilizados por los atacantes para crear solicitudes especialmente diseñadas que podrían ser utilizadas para obtener la ejecución remota de código sin autenticación».
América Latina, Objetivo Prioritario
Si bien esta vulnerabilidad es una amenaza global, diversos factores regionales crean un perfil de riesgo especialmente elevado para las organizaciones de América Latina. La profunda presencia de soluciones empresariales de Microsoft, incluido SharePoint Server local, combinada con la rápida pero desigual transformación digital de la región y su condición de objetivo principal de un maduro ecosistema de ciberdelincuencia local, genera un terreno fértil para la explotación, donde el impacto de esta vulnerabilidad podría ser particularmente grave.
Recomendaciones Urgentes para las Organizaciones
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. ha clasificado oficialmente este fallo como crítico, con una puntuación CVSS de 9,8 sobre 10. Las organizaciones deben actuar con prontitud:
- Realizar investigaciones de respuesta a incidentes para identificar un posible compromiso.
- Aplicar los parches disponibles proporcionados por Microsoft tan pronto como sea posible.
- Revisar las instrucciones de mitigación publicadas por Microsoft.
- Reforzar la seguridad de los servidores SharePoint y monitorear de cerca cualquier actividad sospechosa.
El tiempo es crucial. Esta vulnerabilidad de día cero representa una amenaza inminente y de gran alcance para miles de organizaciones en América Latina. La acción rápida y efectiva es fundamental para evitar consecuencias devastadoras.
