21 DE JULIO DE 2025. Una vulnerabilidad en el el software de Microsoft SharePoint se activó el pasado fin de semana, lo que no pasó desapercibido para la agencia Eye Security, que el sábado reveló la identificación de una intensa actividad explotación de la vulnerabilidad.
El domingo, la Agencia de Ciberseguridad e Infraestructuras (CISA), del gobierno estadounidense, informó que Microsoft lanzó ayer una guía de respuesta para sus consumidores, en la que además se explicaba el potencial de explotación de la vulnerabilidad de SharePoint, plataforma de colaboración empresarial formada por productos y elementos de software que incluye funciones de colaborador, módulos de administración de procesos, módulos de búsqueda y una plataforma de administración de documentos.
Además, SharePoint mantiene un estrecho vínculo con apps de uso masivo en oficinas, como Outlook, Teams y One Drive. Derivado de este desarrollo, diversas agencias federales, universidades y Pymes a nivel global ya se encuentran sufriendo el saqueo de su información.
La agencia identificó la vulnerabilidad como CVE-2924-53770, una variante de la previamente identificada CV-2025-49706, reportada públicamente como Toolshell, que permite infiltrar sistemas evadiendo la autenticación, lo que abre la puerta a actores maliciosos para acceder a contenidos de SharePoint, «incluyendo los sistemas y configuraciones internas, además de ejecutar código sobre la red». Este tipo de mecanismos son coloquialmente conocidos como «vulnerabilidades Día Cero», ya que no otorgan margen de tiempo para que el atacado pueda reaccionar ante su explotación por actores maliciosos, que por lo general suelen extraer ingentes volúmenes de información privilegiada para distribuirla en paquetes, que después subastan en foros de contrabandistas en la Dark Web.
De acuerdo al diagnóstico de Eye Security, como el ataque produjo el robo de contraseñas y otras llaves digitales, no bastará con la emisión del parche para asegurar el ecosistema digital vulnerado, sino que deberá consolidarse una rotación completa de contraseñas y certificados digitales utilizados por los usuarios legítimos.
Por la razón de que la explotación de las vulnerabilidades CVE-2025-49704 y CVE-2025-49706 ha alcanzado niveles críticos durante las últimas 12 horas, se recomienda a empresas y agencias usuarias de Sharepoint que por default asuman su información como vulnerada y procedan sin demora a implementar la guía de respuesta que para el particular preparó Microsoft, así como actualizar sus credenciales.
