Un ataque cibernético a gran escala dirigido a servidores SharePoint de Microsoft, una herramienta ampliamente utilizada por empresas y organismos gubernamentales para compartir y gestionar documentos, ha generado preocupación entre autoridades y expertos en seguridad informática.
De acuerdo con Microsoft, el ataque no afectó a SharePoint Online —la versión basada en la nube incluida en Microsoft 365—, pero sí impactó a múltiples organizaciones que utilizan el software en servidores locales.
Esta falla de seguridad permite a ciberdelincuentes acceder sin autenticación a servidores locales, robar claves digitales privadas y obtener información sensible, según han alertado expertos en ciberseguridad y la propia compañía tecnológica.
SharePoint es una herramienta ampliamente utilizada por empresas y organismos gubernamentales para almacenar, gestionar y compartir archivos, y puede integrarse con otros servicios como Outlook, Teams y OneDrive. En este caso, el fallo de seguridad afecta exclusivamente a las versiones instaladas localmente, no a las que funcionan a través de la nube con Microsoft 365.
Microsoft confirmó el sábado la existencia de ataques activos y urgió a sus clientes a instalar los parches de seguridad ya disponibles para las versiones SharePoint Subscription Edition y SharePoint 2019, que eliminan por completo el riesgo.
Sin embargo, advirtió que aún se está trabajando en actualizaciones para versiones anteriores como SharePoint 2016, que siguen expuestas.
La vulnerabilidad, identificada como CVE-2025-53770 y CVE-2025-53771, permite a los atacantes infiltrarse en los servidores sin necesidad de iniciar sesión, suplantar identidades, acceder a archivos internos y ejecutar código malicioso de forma remota.
Esta actividad ha sido denominada públicamente como “ToolShell” por las autoridades estadounidenses, quienes han señalado que representa un riesgo crítico, ya que facilita el control total del sistema afectado.
Según The Washington Post, ya se ha confirmado que universidades, agencias gubernamentales de EE. UU., y compañías del sector energético han sido víctimas del ataque. Aunque aún no se tiene una cifra exacta de servidores comprometidos, la escala del problema es global y sigue en evolución.
Organizaciones de ciberseguridad como Eye Security y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) recomiendan a las empresas actuar de inmediato, aplicar los parches disponibles y monitorear sus sistemas ante posibles accesos no autorizados.
Este incidente vuelve a poner en evidencia los riesgos crecientes de las infraestructuras tecnológicas expuestas a fallos de seguridad, y subraya la necesidad de mantener actualizados los sistemas críticos que sostienen la operación diaria de instituciones públicas y privadas.
