Los piratas informáticos atacan el software de Microsoft y entran en decenas de empresas de todo el mundo.

Los piratas informáticos explotaron una falla de seguridad en un software de Microsoft utilizado en todo el mundo para lanzar una ofensiva contra agencias gubernamentales y empresas en los últimos días, irrumpiendo en agencias federales y estatales de Estados Unidos, universidades (incluida una universidad brasileña no identificada) y empresas, según autoridades e investigadores.

El gobierno de EE. UU. y sus socios en Canadá y Australia investigan una vulnerabilidad en servidores locales de SharePoint, una plataforma para compartir y administrar documentos en la nube. Decenas de miles de estos servidores están en riesgo, según los expertos.

El ataque fue identificado el viernes (18) por Eye Security, una empresa de ciberseguridad con sede en los Países Bajos. Aún no hay información sobre la organización responsable ni su objetivo.

Microsoft emitió una advertencia sobre "ataques activos" a su software el sábado (19) y afirmó que las vulnerabilidades solo afectan a los servidores SharePoint utilizados dentro de las organizaciones. Añadió que SharePoint Online en Microsoft 365, que está en la nube, no se vio afectado por los ataques.

Google, que monitorea grandes volúmenes de tráfico de Internet, dijo el lunes (21) que había vinculado al menos algunos de los ataques a un actor de amenazas vinculado a China.

En la alerta del sábado, Microsoft dijo que una vulnerabilidad "permite a un atacante autorizado falsificar una red" y emitió recomendaciones para evitar que los atacantes la exploten.

En un ataque de suplantación de identidad, un actor puede manipular los mercados financieros o las agencias ocultando su identidad y aparentando ser una persona, organización o sitio web confiable.

"Estamos coordinando estrechamente con CISA [la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos], el Comando de Defensa Cibernética del Departamento de Defensa y socios clave en ciberseguridad de todo el mundo durante nuestra respuesta", dijo un portavoz de Microsoft.

La compañía afirma haber publicado actualizaciones de seguridad e instado a los clientes a instalarlas de inmediato. Según Microsoft, los usuarios deberían modificar los programas del servidor de SharePoint o simplemente desconectarlos de internet para contener la brecha.

El FBI dijo el domingo (20) que está al tanto de los ataques y está trabajando estrechamente con sus socios del sector federal y privado, pero no proporcionó otros detalles.

Según el Washington Post, el llamado ataque "Zero Day" (llamado así porque apuntaba a una vulnerabilidad desconocida) permitió a los espías ingresar a servidores vulnerables y potencialmente crear una puerta trasera para asegurar el acceso continuo a las organizaciones víctimas.

Con acceso a estos servidores, que a menudo se conectan al correo electrónico de Outlook, Teams y otros servicios esenciales, una violación podría conducir al robo de datos confidenciales, así como a la recopilación de contraseñas, señaló Eye Security.

Los investigadores advirtieron además que los piratas informáticos han obtenido acceso a claves que podrían permitirles recuperar el acceso incluso después de que se haya parcheado el sistema.

Según expertos en ciberseguridad, la falla podría haber comprometido miles de datos. «Cualquiera con un servidor SharePoint alojado tiene un problema», afirmó Adam Meyers, vicepresidente sénior de la firma de ciberseguridad CrowdStrike. «Es una vulnerabilidad significativa».

"Hemos identificado docenas de organizaciones comprometidas que abarcan los sectores comercial y gubernamental", dijo Pete Renals, gerente senior de Unit 42 en Palo Alto Networks.

Eye Security y la Fundación Shadowserver, dos empresas de ciberseguridad que ayudaron a identificar el ataque, dijeron que el número de organizaciones afectadas llegó a 100. Shadowserver afirmó que la mayoría de los afectados estaban en Estados Unidos y Alemania.

Expertos en ciberseguridad entrevistados por el Washington Post mencionaron que una universidad en Brasil y una agencia gubernamental en España también fueron atacadas. No se reveló la identidad de las organizaciones afectadas, pero ambas empresas alertaron a las autoridades de ambos países.

Según Vaisha Bernard, responsable de hacking en Eye Security, el viernes (18) se descubrió una campaña de hacking dirigida a uno de sus clientes. Se tomaron medidas para contener el ataque, pero la empresa afirmó desconocer las acciones que se llevaron a cabo mientras tanto.

"Quién sabe qué habrán hecho otros adversarios desde entonces para instalar otras puertas traseras", comentó Bernard en una entrevista con la agencia de noticias Reuters. Un investigador entrevistado por The Washington Post advirtió que la demora de Microsoft en emitir la alerta podría haber agravado aún más la situación.

Según el Washington Post, no está claro quién llevó a cabo el ataque ni cuál era su objetivo final. Una firma de investigación privada descubrió que los hackers tenían como objetivo servidores en China, así como una legislatura estatal en el este de Estados Unidos.

Eye Security afirmó haber rastreado alrededor de 100 infracciones, incluidas las de una empresa de energía en un importante estado de EE. UU. y varias agencias gubernamentales europeas.

Al menos dos agencias federales de Estados Unidos sufrieron violaciones de sus servidores, según los investigadores, que afirmaron que los acuerdos de confidencialidad con las víctimas les impiden nombrar a los objetivos.

Un funcionario estatal del este de Estados Unidos afirmó que atacantes secuestraron un repositorio de documentos públicos para ayudar a los residentes a comprender el funcionamiento de su gobierno. La agencia involucrada ya no puede acceder al material, pero no se sabe con certeza si fue eliminado.

Este tipo de ataques de "borrado" son poco frecuentes, y este alarmó a las autoridades de otros estados al difundirse la noticia. Algunas empresas de seguridad afirmaron no haber detectado borrados en los ataques de SharePoint, solo el robo de claves criptográficas que permitirían a los hackers reingresar a los servidores.

En Arizona, funcionarios de ciberseguridad se reunían con autoridades estatales, locales y tribales para evaluar posibles vulnerabilidades e intercambiar información. Una persona familiarizada con el asunto declaró al Washington Post que se estaba desatando una frenética lucha en todo Estados Unidos para abordar el problema.

Las brechas de seguridad ocurrieron después de que Microsoft corrigiera una falla de seguridad este mes. Los hackers se dieron cuenta de que podían explotar una vulnerabilidad similar, según la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del Departamento de Seguridad Nacional.

Marci McCarthy, portavoz de CISA, dijo que la agencia fue alertada sobre el problema el viernes por una empresa de investigación cibernética y se comunicó inmediatamente con Microsoft.

Microsoft ha sido criticado en el pasado por emitir parches con un diseño muy limitado y dejar vías similares abiertas para ataques.

Este gigante tecnológico, uno de los mayores proveedores de tecnología para gobiernos, se ha enfrentado a otros problemas importantes en los últimos dos años, incluyendo filtraciones de sus propias redes corporativas y correos electrónicos de ejecutivos. Una falla de programación en sus servicios en la nube también permitió a hackers con respaldo chino robar correos electrónicos de empleados federales.

El viernes, Microsoft dijo que dejaría de utilizar ingenieros con sede en China para apoyar los programas de computación en la nube del Departamento de Defensa después de que un informe del medio de investigación ProPublica revelara la práctica, lo que llevó al Secretario de Defensa, Pete Hegseth, a ordenar una revisión de los acuerdos de nube del Pentágono.

El Centro para la Seguridad en Internet, una organización sin fines de lucro que mantiene un grupo de intercambio de información para gobiernos estatales y locales en EE. UU., notificó a unas 100 organizaciones vulnerables y potencialmente comprometidas, según Randy Rose, vicepresidente de la organización. Entre las alertadas se encontraban escuelas y universidades públicas.

El proceso tomó seis horas el sábado por la noche, mucho más tiempo de lo normal, porque los equipos de inteligencia de amenazas y respuesta a incidentes se redujeron en un 65 por ciento debido al recorte de fondos de CISA, dijo Rose.

Aunque CISA está dirigida por un director interino, dado que el candidato Sean Plankey no ha sido confirmado, el personal de la agencia ha estado trabajando incansablemente en el asunto, según declaró una portavoz. "Nadie se ha quedado de brazos cruzados".

Además de empresas de Estados Unidos y Alemania y la universidad brasileña, una agencia gubernamental en España también fue atacada, según investigadores de ciberseguridad entrevistados por el Washington Post.

El Centro Nacional de Seguridad Cibernética del Reino Unido dijo en un comunicado que tenía conocimiento de "un número limitado" de objetivos en el Reino Unido.