¡Se multiplican las víctimas del ciberataque chino a SharePoint de Microsoft!

Se multiplican las víctimas del ciberataque chino a SharePoint de Microsoft. Este ciberataque, vinculado a grupos estatales chinos, ya ha afectado a más de 400 organizaciones en todo el mundo, convirtiéndose en uno de los incidentes más críticos del año.

Lo que comenzó como un conjunto de casos aislados se transformó rápidamente en una campaña global de intrusión. Las víctimas incluyen agencias gubernamentales, instituciones de salud y empresas privadas que operan con infraestructura de Microsoft.

¿Quiénes son las víctimas del ciberataque chino a SharePoint?

Este incidente ha impactado principalmente a organizaciones en Estados Unidos, pero también se han confirmado víctimas en:

• Países Bajos

• Sudáfrica

• Mauricio

• Jordania

Entre los casos más relevantes están:

• La Administración Nacional de Seguridad Nuclear (EE.UU.)

• Los Institutos Nacionales de Salud (NIH)

• Varias empresas privadas del sector tecnológico e industrial

El ataque se ha dirigido especialmente a entidades con alta dependencia de Microsoft SharePoint para la gestión de documentos internos y colaboración digital.

¿Cómo fue ejecutado el ciberataque a SharePoint?

El ciberataque chino a SharePoint se basó en la explotación de una vulnerabilidad tipo zero-day, permitiendo a los atacantes acceder a los servidores sin autenticación previa. Según Microsoft Security Blog, se utilizó ingeniería avanzada sobre tokens de sesión y claves internas.

Este tipo de ataque es altamente silencioso y no requiere interacción del usuario final.

Técnicas empleadas:

• Suplantación de identidades administrativas

• Movimientos laterales dentro de las redes internas

• Persistencia mediante backdoors

• Robo de credenciales y tokens cifrados

¿Quiénes están detrás del ciberataque?

Microsoft atribuyó el ataque a grupos patrocinados por el Estado chino, entre ellos:

• Violet Typhoon

• Storm-2603

• Linen Typhoon

Estos grupos han sido vinculados anteriormente a campañas de espionaje y sabotaje informático con motivaciones políticas y estratégicas.

Reacción internacional al ciberataque chino a SharePoint

El Departamento de Salud de EE.UU. declaró que, hasta el momento, no hay evidencia de filtración de datos, pero se mantiene una vigilancia activa.

El secretario del Tesoro estadounidense confirmó que el incidente será discutido directamente con autoridades chinas en Estocolmo.

Por su parte, Microsoft ya publicó parches de seguridad. No obstante, expertos como CISA alertan que los atacantes pueden haber dejado persistencia, lo que requiere análisis forense detallado.

¿Cómo responder al ciberataque chino a SharePoint?

Si tu organización utiliza SharePoint en servidores locales o híbridos, considera las siguientes acciones:

Actualiza SharePoint con los últimos parches oficiales
Analiza los logs de acceso de cuentas administrativas
Aplica autenticación multifactor (MFA)
Segmenta la red y limita privilegios de cuentas
Realiza un análisis forense completo

¿Qué se espera tras el ciberataque chino a SharePoint?

Expertos advierten que esta campaña podría evolucionar. Se espera que los mismos grupos intenten atacar otras plataformas de Microsoft o productos relacionados.

Este ciberataque chino a SharePoint ha demostrado que los atacantes buscan acceso prolongado, más allá del daño inmediato, instalando puertas traseras invisibles para futuras operaciones.

Cyberguard Chile puede ayudarte a proteger tu infraestructura con:

• Escaneo de vulnerabilidades

• Revisión de configuraciones en Microsoft 365 / SharePoint

• Auditoría forense de accesos

• Asesoría técnica directa con especialistas