Una amenaza creciente para la infraestructura TI de empresas y gobiernos — Lo que necesita saber ahora

El 21 de julio de 2025, Microsoft emitió una alerta de emergencia sobre una vulnerabilidad crítica de día cero en SharePoint Server que está siendo activamente explotada. La falla (CVE-2025-53770) forma parte de un ciberataque coordinado dirigido a empresas, universidades, agencias gubernamentales y compañías energéticas de todo el mundo.

Según Reuters y The Hacker News, al menos 75 servidores SharePoint ya han sido comprometidos, lo que ha provocado respuestas internacionales de emergencia y directrices urgentes de mitigación.

¿Qué es el ataque de día cero en SharePoint?

CVE-2025-53770 es una vulnerabilidad de ejecución remota de código que afecta a:

  • Microsoft SharePoint Server 2016
  • SharePoint Server 2019
  • SharePoint Subscription Edition

Este día cero permite a los atacantes ejecutar código malicioso de forma remota, robar claves de cifrado y obtener acceso persistente a sistemas críticos, incluso después de aplicar los parches estándar.

¿Quién está siendo objetivo del ataque?

El ataque ha afectado a una amplia gama de sectores, entre ellos:

  • Ministerios gubernamentales y agencias de defensa en Europa, Asia y América
  • Redes universitarias que almacenan datos de investigación sensibles
  • Compañías energéticas y de servicios públicos, comprometiendo su resiliencia operativa
  • Empresas privadas con infraestructura SharePoint obsoleta o mal configurada

Las víctimas han reportado exfiltración de datos, escalamiento de privilegios no autorizados e incluso signos de actividad relacionada con espionaje

Indicadores clave de compromiso (IoCs)

Los equipos de ciberseguridad deben investigar de inmediato lo siguiente:

  • Modificaciones sospechosas en los registros de IIS o en los elementos machineKey
  • Intentos de movimiento lateral utilizando PowerShell o WMI
  • Escalamiento de privilegios no autorizado en Active Directory
  • Anomalías de tráfico o conexiones (beaconing) a direcciones IP desconocidas

La telemetría de Microsoft indica que los atacantes mantienen persistencia desactivando funciones de seguridad e inyectando malware residente en memoria después de obtener acceso

Recomendaciones de Microsoft

Microsoft ha lanzado un parche de emergencia y recomienda también tomar las siguientes acciones:

  • Modificaciones sospechosas en los registros de IIS o en los elementos machineKey
  • Instalar la actualización de seguridad de julio de 2025 para todos los servidores SharePoint
  • Rotar las claves machineKey y reiniciar IIS tras aplicar el parche
  • Activar AMSI (Antimalware Scan Interface) para bloqueo de amenazas en tiempo real
  • Desconectar temporalmente de internet los sistemas sin parchear
  • Ejecutar scripts de detección de amenazas y realizar análisis forense
Instamos a todas las organizaciones que usen SharePoint on-premise a actuar de inmediato. Una respuesta tardía podría llevar a un compromiso masivo - Microsoft Security Response Center

Implicaciones estratégicas para líderes de ciberseguridad

1. Los sistemas on-premise son objetivos de alto valor

A pesar del movimiento hacia la nube, muchas organizaciones siguen dependiendo de infraestructuras híbridas. Los atacantes explotan esta brecha para evadir defensas modernas.

2. Los ataques de día cero requieren una arquitectura Zero Trust

VPNs heredadas, puertas de enlace RDP y redes no segmentadas son un riesgo. Es hora de reconstruir la arquitectura con los principios de Zero Trust.

3. La higiene cibernética debe ser una prioridad del consejo directivo

Incidentes como este subrayan la necesidad de una gestión proactiva de vulnerabilidades, visibilidad SOC y simulacros de respuesta — no solo parches reactivos.

✅ Cómo puede ayudarte Apolo Cybersecurity

En Apolo, ayudamos a entidades públicas y privadas a reducir su exposición al riesgo con servicios especializados, incluyendo:

  • Modificaciones sospechosas en los registros de IIS o en los elementos machineKey
  • Endurecimiento de SharePoint y auditorías de configuración segura
  • Implementación del marco Zero Trust
  • Monitorización 24/7 mediante nuestro SOC propio
  • Pruebas de penetración orientadas a amenazas reales (TLPT)
  • Informes ejecutivos para cumplimiento de gobernanza

🔐 Solicita una auditoría gratuita de ciberseguridad

Deja que nuestros expertos te ayuden a fortalecer tus defensas y mantenerte un paso por delante del panorama de amenazas.

Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer de Sant Joan de la Salle 42, Barcelona, España
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookies
Privacy Settings
Copyright © 2025 Apolo Cybersecurity