Hablemos

Ataque Zero-Day en SharePoint: ¿Están tus servidores en peligro?

Si en tu empresa todavía corren versiones de Microsoft SharePoint 2016, 2019 o la Subscription Edition en servidores propios (on-premise), esta noticia es para vos. En los últimos días, se confirmó la explotación activa de una vulnerabilidad crítica de tipo zero-day, y es fundamental actuar cuanto antes para proteger la infraestructura.

Suena grave, y lo es. Un ataque zero-day significa que los ciberdelincuentes encontraron una puerta trasera antes que nadie y la están usando activamente. Ya se estima que más de cuatrocientas organizaciones fueron atacadas. Pero que no cunda el pánico: hay pasos concretos que podés tomar ya mismo para blindar tus sistemas.

Un dato clave: si tu organización utiliza la versión en la nube, SharePoint Online, podés respirar tranquilo. Esta vulnerabilidad no te afecta.

Ahora, para los que siguen gestionando su propio SharePoint, es momento de prestar atención. Aunque Microsoft solo mencionó las versiones 2016, 2019 y Subscription, desde TIC Servicios recomendamos ser extra precavidos. Las versiones más viejas y sin soporte, como SharePoint 2010 y 2013, tienen una probabilidad altísima de ser vulnerables por la falta de parches y seguridad actualizada. En resumen: si tenés cualquier versión de SharePoint on-premise, este artículo es de lectura obligatoria.

 

La vulnerabilidad, en criollo

El problema reside en dos nuevas vulnerabilidades identificadas (CVE-2025-53770 y CVE-2025-53771). Estas permiten a los atacantes enviar solicitudes web especialmente diseñadas a los servidores SharePoint. Si tienen éxito, logran ejecutar código de forma remota (Remote Code Execution o RCE), salteándose por completo la autenticación.

Para que quede claro: un atacante podría tomar el control total de tu servidor sin necesidad de un usuario y contraseña. Es el equivalente a que alguien entre a tu casa sin forzar la cerradura porque encontró una falla en su diseño.

Una vez adentro, los atacantes suelen moverse en silencio. Su objetivo es pasar desapercibidos mientras roban datos, monitorean la actividad interna o instalan backdoors para volver a entrar cuando quieran. Por eso, es crucial estar atento a señales de alerta como:

  • Comportamientos extraños: Logins a deshora, procesos desconocidos ejecutándose o intentos de conexión hacia el exterior desde sistemas que solo deberían comunicarse internamente.

  • Servicios caídos: Aplicaciones o servicios que dejan de funcionar por períodos largos sin motivo aparente.

  • Lentitud general: El servidor funciona mucho más lento de lo normal.

  • Actividad de red sospechosa: Picos de tráfico inusuales o conexiones a destinos desconocidos.

 

Pasos urgentes para mitigar el riesgo

Estos ataques están activos desde el 18 de julio de 2025. Microsoft ya publicó una serie de recomendaciones que, desde nuestra experiencia, son el camino a seguir.

1. Actualizar, actualizar y actualizar Microsoft lanzó parches de seguridad para todas las versiones afectadas de SharePoint Server (2016, 2019 y Subscription Edition). La recomendación es simple: aplicá estas actualizaciones de forma inmediata. No hay excusas.

2. Habilitar la Antimalware Scan Interface (AMSI) La AMSI es una herramienta que integra SharePoint con tu antivirus para escanear scripts en tiempo real y detectar actividad maliciosa. Es una barrera de defensa muy eficaz contra este tipo de ataque. Configurá la integración con AMSI y asegurate de tener un antivirus robusto como Microsoft Defender en todos los servidores. Si por alguna razón no podés habilitar AMSI, la recomendación de Microsoft es drástica pero necesaria: desconectá el servidor de internet hasta que puedas aplicar el parche. Si eso es imposible, usá una VPN o un proxy que requiera autenticación para limitar el tráfico no autenticado.

3. Fortalecer la visibilidad y detección No podés defender lo que no ves. Tener un sistema de detección robusto es clave. Herramientas como un SIEM (Security Information and Event Management), por ejemplo Microsoft Sentinel, te dan una visibilidad completa de lo que pasa en tu entorno digital, permitiéndote detectar actividad sospechosa y responder al toque.

4. Instalar Microsoft Defender for Endpoint Esta solución te da visibilidad sobre la actividad del servidor y genera alertas en tiempo real. Usa algoritmos de machine learning y análisis de comportamiento para identificar y bloquear amenazas, incluso después de que una brecha haya ocurrido. Es fundamental para detectar y frenar a un atacante que ya logró entrar.

5. Limitar el acceso al servidor (Principio de Mínimo Privilegio) No todos necesitan acceso a todo. Aplicá el Principio de Mínimo Privilegio, restringiendo permisos al mínimo indispensable. Además, usá la segmentación de red: aislá tu servidor SharePoint en una zona desmilitarizada (DMZ) para evitar que, si un atacante logra entrar, pueda moverse lateralmente por el resto de tu red.

 

Pensando a futuro: ¿Cómo construir una defensa sólida?

Solucionar esta emergencia es el primer paso, pero la verdadera jugada está en construir una estrategia de ciberseguridad a largo plazo.

Si tu empresa sigue administrando soluciones on-premise cuyo fin de vida está a la vuelta de la esquina, quizás este sea el empujón que necesitaban para considerar la migración a SharePoint Online u otra plataforma colaborativa en la nube. La infraestructura cloud de Microsoft recibe actualizaciones de seguridad constantes, lo que te saca de encima gran parte del peso de la gestión de parches y vulnerabilidades.

Si bien la nube no es una garantía total contra ciberataques, sí reduce drásticamente la superficie de riesgo y la carga operativa. Para la mayoría de las PyMEs, la seguridad, supervisión y confiabilidad que ofrecen los servicios en la nube justifican con creces la transición.

Ahora, si tu negocio decide seguir con SharePoint on-premise, es crítico invertir en:

  • Seguridad de endpoints robusta.

  • Políticas de parcheo ágiles y rigurosas.

  • Filtrado y registro de DNS.

  • Gestión estricta de permisos y accesos.

  • Capacitación constante al personal en ciberseguridad.

 

La opinión de nuestro experto

Sobre esta situación, Sergio nuestro Director de Ciberseguridad, comenta:

“Este zero-day no es solo un parche más para instalar y olvidarse. Es una cachetada de realidad para las empresas que todavía se resisten a los beneficios de un entorno cloud y un llamado de atención para nuestros clientes más enfocados en la seguridad on-premise. En TIC Servicios vemos todos los días cómo los atacantes explotan la más mínima fisura en la visibilidad o en la gestión de privilegios. Las empresas deben actuar con decisión, aplicar el Principio de Mínimo Privilegio, reforzar su capacidad de detección y replantearse su dependencia de plataformas sin soporte o de alto mantenimiento. La ciber-resiliencia no se construye de un día para el otro, pero ignorar esta amenaza es como entregarles las llaves de tu negocio a los delincuentes.”

El momento de tomar medidas proactivas es ahora. No solo para resolver este incidente, sino para fortalecer tus sistemas y estar preparado para las amenazas que, inevitablemente, vendrán.

Si no estás seguro de cómo evaluar el riesgo en tu infraestructura o necesitás una mano para planificar una estrategia de seguridad o una migración a la nube, en TIC Servicios estamos para ayudarte. Contactanos y charlamos con uno de nuestros especialistas.