Vulnerabilidad crítica en Microsoft SharePoint: explotación activa desde julio de 2025 contra gobiernos y empresas

Introducción

En las últimas semanas, la comunidad de ciberseguridad ha sido alertada sobre una vulnerabilidad crítica en Microsoft SharePoint que está siendo explotada activamente desde principios de julio de 2025. Según un informe publicado por Check Point Research, los primeros intentos de explotación se remontan al 7 de julio, teniendo como primeros objetivos a una importante administración pública occidental. Posteriormente, la campaña de ataques ha escalado, afectando a sectores clave como el gobierno, las telecomunicaciones y el desarrollo de software. Este incidente pone de manifiesto la rapidez con la que los actores de amenazas aprovechan las debilidades de infraestructuras críticas, así como la necesidad de una respuesta coordinada y eficaz en el ámbito empresarial e institucional.

Contexto del Incidente o Vulnerabilidad

La vulnerabilidad en cuestión —identificada como CVE-2025-35225— reside en varios componentes de Microsoft SharePoint Server, una de las plataformas colaborativas más implantadas en entornos empresariales y gubernamentales. La gestión de la vulnerabilidad se ha visto complicada por la amplitud de versiones afectadas, incluyendo SharePoint Server 2019, SharePoint Server Subscription Edition y versiones anteriores sin soporte oficial. Microsoft publicó un aviso de seguridad a principios de julio, poco después de que los primeros informes de explotación real comenzaran a circular en foros privados y plataformas de intercambio de inteligencia de amenazas.

Detalles Técnicos

CVE-2025-35225 es una vulnerabilidad de ejecución remota de código (RCE) que permite a un atacante no autenticado ejecutar comandos arbitrarios en el servidor con privilegios elevados. El vector de ataque principal consiste en el envío de paquetes especialmente manipulados a los endpoints REST de SharePoint, explotando una validación insuficiente de los datos de entrada. Los TTP identificados corresponden a técnicas recogidas en el framework MITRE ATT&CK, especialmente T1190 (Exploitation of Remote Services) y T1059 (Command and Scripting Interpreter).

Check Point Research ha detectado la utilización de exploits públicos y privados, algunos de ellos integrados en frameworks ampliamente usados como Metasploit y Cobalt Strike, lo que ha facilitado tanto ataques dirigidos como campañas de explotación masiva. Entre los indicadores de compromiso (IoCs) detectados se encuentran patrones de tráfico HTTP anómalos, la presencia de webshells como China Chopper y conexión a infraestructuras C2 asociadas con grupos APT conocidos.

Impacto y Riesgos

El impacto potencial de esta vulnerabilidad es significativo. Al permitir la ejecución remota de código, los atacantes pueden obtener control total del servidor SharePoint, acceder a información sensible, pivotar lateralmente dentro de la red corporativa y desplegar ransomware o malware adicional. Según los datos recopilados, al menos un 30% de las organizaciones con SharePoint expuesto a Internet no han aplicado los parches de seguridad a tiempo, lo que ha permitido a los atacantes comprometer infraestructuras críticas en cuestión de días.

Además del riesgo directo para la continuidad del negocio, las organizaciones afectadas por una brecha de este tipo podrían enfrentarse a sanciones severas conforme al RGPD y la inminente directiva NIS2, que refuerza la obligación de notificación y las medidas de seguridad para operadores de servicios esenciales y proveedores de servicios digitales.

Medidas de Mitigación y Recomendaciones

Microsoft ha publicado actualizaciones de seguridad que corrigen la vulnerabilidad para todas las versiones soportadas de SharePoint. Se recomienda su aplicación inmediata, junto con la revisión de configuraciones para minimizar la exposición de instancias SharePoint directamente a Internet. Los equipos SOC y de respuesta ante incidentes deben monitorizar los logs de acceso y ejecución, buscar IoCs asociados y realizar análisis forense en servidores potencialmente comprometidos.

Adicionalmente, es aconsejable implementar segmentación de red, restringir el acceso a SharePoint mediante VPN o Zero Trust Network Access (ZTNA) y emplear soluciones EDR/XDR capaces de detectar actividades anómalas y movimientos laterales. En entornos críticos, se recomienda realizar pentests específicos de SharePoint para identificar posibles vectores residuales.

Opinión de Expertos

Analistas de ciberseguridad como David Barroso (CounterCraft) y Yolanda Rueda (INCIBE) coinciden en que la explotación de CVE-2025-35225 evidencia la profesionalización y velocidad de respuesta de los grupos de amenazas avanzadas. “La ventana entre la publicación de la vulnerabilidad y su explotación real es cada vez más reducida, lo que exige una gestión de parches casi en tiempo real”, apunta Barroso. Rueda, por su parte, resalta la importancia de la inteligencia de amenazas compartida y de la colaboración público-privada para contener este tipo de incidentes antes de que escalen a compromisos masivos.

Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente es una llamada de atención sobre la criticidad de los sistemas colaborativos y la necesidad de una política de hardening continuado. Un compromiso en SharePoint puede traducirse en robo de propiedad intelectual, interrupciones operativas y daños reputacionales irreparables. Los usuarios deben concienciarse sobre la importancia de reportar comportamientos anómalos y de seguir buenas prácticas de seguridad, como la gestión de contraseñas y la adopción de MFA.

Conclusiones

La explotación activa de la vulnerabilidad crítica en Microsoft SharePoint subraya la urgencia de reforzar la gestión de vulnerabilidades y la monitorización proactiva en todos los sectores. La rápida adopción de parches, junto con la colaboración entre los equipos de seguridad, será clave para reducir los riesgos y evitar incidentes de gran escala en el futuro inmediato.

(Fuente: feeds.feedburner.com)