La cantidad de empresas y organizaciones comprometidas por una vulnerabilidad de seguridad en los servidores SharePoint de Microsoft está aumentando rápidamente y el número de víctimas se ha multiplicado por más de seis en pocos días, según una firma de investigación.
Los hackers han vulnerado la seguridad de unas 400 agencias gubernamentales, corporaciones y otros grupos, según estimaciones de Eye Security, la empresa neerlandesa de ciberseguridad que identificó una primera oleada de ataques la semana pasada. Esta cifra representa un aumento con respecto a las aproximadamente 60 que se calculaban previamente a Bloomberg News el martes.
La empresa de seguridad afirmó que la mayoría de las víctimas se encuentran en Estados Unidos, seguido de Mauricio, Jordania, Sudáfrica y los Países Bajos. La Administración Nacional de Seguridad Nuclear (NSA), la agencia estadounidense responsable del mantenimiento y diseño del arsenal nuclear del país, se encontraba entre los afectados, según informó Bloomberg anteriormente.
Los Institutos Nacionales de Salud también se vieron afectados por las fallas de SharePoint, según una persona familiarizada con el asunto. Andrew Nixon, portavoz del Departamento de Salud y Servicios Humanos, declaró: «El Departamento y sus equipos de seguridad participan activamente en la supervisión, identificación y mitigación de todos los riesgos que la vulnerabilidad de Microsoft SharePoint representa para nuestros sistemas informáticos».
“Actualmente, no tenemos indicios de que se haya violado alguna información como resultado de esta vulnerabilidad”, afirmó, y añadió que el departamento está colaborando con Microsoft y la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos. The Washington Post informó previamente que los NIH sufrieron una violación de seguridad.
Los hackeos se encuentran entre las últimas infracciones graves que Microsoft ha atribuido, al menos en parte, a China, y se producen en un contexto de creciente tensión entre Washington y Beijing por la seguridad y el comercio global. Estados Unidos ha criticado repetidamente a China por campañas que presuntamente han robado secretos gubernamentales y corporativos durante décadas.
El número real de víctimas de los exploits de SharePoint “podría ser mucho mayor, ya que existen muchas más formas ocultas de comprometer servidores sin dejar rastro”, declaró Vaisha Bernard, copropietaria de Eye Security, en un correo electrónico a Bloomberg News. “Esto aún está en desarrollo, y otros adversarios oportunistas continúan explotando servidores vulnerables”.
Entre las organizaciones afectadas por las brechas de seguridad de SharePoint se encuentran muchas que trabajan en servicios gubernamentales, educativos y tecnológicos, afirmó Bernard. Hubo un número menor de víctimas en países de Europa, Asia, Oriente Medio y Sudamérica.
Los piratas informáticos respaldados por el Estado tienden a explotar las principales debilidades de ciberseguridad, como la vulnerabilidad de SharePoint, en oleadas, según Sveva Scenarelli, analista de amenazas de Recorded Future. Comienzan con ataques secretos y específicos y luego, una vez que se descubre la vulnerabilidad, comenzarán a utilizarla de forma más indiscriminada, dijo.
“Una vez obtenido el acceso, los grupos de amenazas individuales pueden clasificar las organizaciones comprometidas y priorizar aquellas de especial interés para actividades posteriores”, afirmó Scenarelli, del Grupo Insikt de la firma de ciberinteligencia. Añadió que esto puede incluir encontrar maneras de mantener el acceso a una red comprometida, profundizar en ella y establecer rutas para robar información confidencial.
El secretario del Tesoro de Estados Unidos, Scott Bessent, quien se reunirá con sus homólogos chinos en Estocolmo la próxima semana para una tercera ronda de negociaciones comerciales, sugirió este miércoles en una entrevista con Bloomberg Television que se abordarán los ataques informáticos a SharePoint. «Obviamente, temas como ese estarán en la agenda con mis homólogos chinos», declaró.
Las fallas de seguridad permiten a los hackers acceder a servidores de SharePoint y robar claves que les permiten suplantar la identidad de usuarios o servicios, lo que podría permitir un acceso profundo a redes comprometidas para robar datos confidenciales. Microsoft ha publicado parches para corregir las vulnerabilidades, pero los investigadores advierten que es posible que los hackers ya se hayan infiltrado en muchos servidores.
¿Qué dijo Microsoft sobre el hackeo a SharePoint?
Microsoft acusó el martes a hackers patrocinados por el estado chino, conocidos como Linen Typhoon y Violet Typhoon, de estar detrás de los ataques. Otro grupo de hackers con sede en China, al que Microsoft llama Storm-2603, también los explotó, según la compañía.
La empresa de Redmond, Washington, ha culpado repetidamente a China de importantes ciberataques. En 2021, una presunta operación china comprometió decenas de miles de servidores Microsoft Exchange. En 2023, otro supuesto ataque chino a Microsoft Exchange comprometió las cuentas de correo electrónico de altos funcionarios estadounidenses. Una revisión del gobierno estadounidense acusó posteriormente a Microsoft de una “cascada de fallos de seguridad” a raíz del incidente de 2023.
Eugenio Benincasa, investigador del Centro de Estudios de Seguridad de la ETH de Zúrich, especializado en el análisis de ciberataques chinos, afirmó que miembros de los grupos identificados por Microsoft habían sido previamente acusados en Estados Unidos por su presunta participación en campañas de piratería informática dirigidas a organizaciones estadounidenses. Son bien conocidos por su “exhaustivo espionaje”, añadió.
Según Benincasa, es probable que las filtraciones de SharePoint sean perpetradas por grupos intermediarios que colaboran con el gobierno, en lugar de agencias gubernamentales chinas que realizan el hackeo directamente. Empresas privadas de hacking en el país a veces participan en operaciones de “hackers a sueldo”, añadió.
“Ahora que al menos tres grupos supuestamente han explotado la misma vulnerabilidad, es plausible que otros sigan su ejemplo”, dijo.
“La ciberseguridad es un desafío común para todos los países y debe abordarse conjuntamente mediante el diálogo y la cooperación”, declaró Guo Jiakun, portavoz del Ministerio de Asuntos Exteriores de China. “China se opone y combate las actividades de piratería informática conforme a la ley. Al mismo tiempo, nos oponemos a las difamaciones y los ataques contra China con el pretexto de los problemas de ciberseguridad”.
Según Microsoft, el grupo de hackers Linen Typhoon se identificó por primera vez en 2012 y se centra en el robo de propiedad intelectual, atacando principalmente a organizaciones relacionadas con el gobierno, la defensa, la planificación estratégica y los derechos humanos. Violet Typhoon, detectado por primera vez en 2015, se dedicaba al espionaje y atacaba principalmente a expersonal gubernamental y militar, organizaciones no gubernamentales, así como a los sectores de los medios de comunicación y la educación en Estados Unidos, Europa y Asia Oriental.
Los piratas informáticos también han utilizado los fallos de SharePoint para entrar en los sistemas que pertenecen al Departamento de Educación de Estados Unidos, el Departamento de Ingresos de Florida y la Asamblea General de Rhode Island, según informó anteriormente Bloomberg.
Edwin Lyman, director de seguridad de energía nuclear de la Unión de Científicos Preocupados, dijo que si bien la Administración Nacional de Seguridad Nuclear posee parte de la información más restringida y peligrosa del mundo, las redes donde se almacena la información clasificada están aisladas de Internet.
“Así que, incluso si esas redes estuvieran comprometidas, no estoy seguro de cómo esa información pudo haber sido transmitida a los adversarios”, dijo Lyman en un correo electrónico. “Pero hay otras categorías de información sensible, pero no clasificada, que podrían tratarse con menos cuidado y haber sido expuestas. Esto incluye información relacionada con materiales nucleares e incluso armas nucleares”.
