La filtración masiva de Microsoft SharePoint recibió una respuesta mínima

No todos los días las instalaciones nucleares de Estados Unidos, el Departamento de Educación y gobiernos de Europa y Medio Oriente son vulnerados en un solo ciberataque. Pero, por otro lado, la falla detectada este fin de semana en la herramienta de colaboración de documentos de Microsoft, SharePoint, no es un problema cualquiera. Ha expuesto una grieta en la armadura de una de las suites de software más utilizadas a nivel global. Microsoft posee dos tercios del mercado en el ámbito de productividad empresarial.

Microsoft reveló la vulnerabilidad en una entrada de blog durante el fin de semana, aclarando que el problema solo afecta a los servidores locales de SharePoint. Es decir, a las instalaciones alojadas localmente de la herramienta, y no al sistema SharePoint Online más ampliamente usado dentro de Microsoft 365. La compañía lanzó actualizaciones para cerrar esta brecha de seguridad, las cuales, según dijo, los clientes “deben aplicar […] de inmediato para asegurarse de estar protegidos”.

Docenas de grandes organizaciones, incluidos gobiernos de EU e internacionales, ya se han visto afectadas por este fallo y fueron hackeadas a través de dicha vulnerabilidad. La magnitud del ataque ha generado dudas sobre por qué la reacción ha sido tan moderada, considerando los objetivos de alto perfil comprometidos.

Darren Guccione, CEO y cofundador de Keeper Security, señala que, aunque los servicios basados en la nube de Microsoft 365 no se vieron afectados, muchos sectores críticos —incluidos el gubernamental, el legal y el financiero— todavía dependen de configuraciones antiguas o híbridas de SharePoint. Estos sistemas, afirma, a menudo “carecen de visibilidad, control de acceso y agilidad” para responder con rapidez ante amenazas y aplicar actualizaciones de seguridad.

Algunos expertos en ciberseguridad opinan que la respuesta hasta ahora no ha estado a la altura de la gravedad del problema. Alan Woodward, profesor de ciberseguridad en la Universidad de Surrey, destaca que el fallo afecta a instalaciones locales y no a las alojadas por Microsoft. Como resultado, explica, el papel de Microsoft se limita a emitir una corrección, dejando el resto en manos de cada organización. La empresa, dice, esencialmente les ha dicho a los usuarios: “Depende de ustedes si operan y mantienen su propia instancia de SharePoint en sus servidores”. (Microsoft no respondió de inmediato a la solicitud de comentarios de Fast Company).

Esos servidores suelen mantenerse fuera de línea porque almacenan datos sensibles, como los relacionados con la prestación de servicios gubernamentales, y no se considera seguro guardarlos en entornos en la nube. “Lo incómodo de esta historia es que todavía hay varios cientos de miles de servidores SharePoint locales”, señala Woodward. “Podría ser un golpe doble si no se maneja correctamente.”

Woodward asegura que le ha sorprendido la falta de urgencia en la respuesta de la comunidad tecnológica en general —incluida la propia Microsoft—. Dada la gravedad de la vulnerabilidad, esperaba que la compañía fuera mucho más enfática al alertar a su base técnica de usuarios. Microsoft, sostiene, debería haber estado “gritando al respecto”. Mientras tanto, tanto la Agencia de Seguridad de Infraestructura y Ciberseguridad de EU (CISA) como el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ya emitieron advertencias sobre los riesgos de esta falla.

Otros expertos se muestran más comprensivos con la situación de Microsoft. “Siento cierta empatía por todas las partes involucradas”, comenta Craig Clark, director de Clark & Company Information Services y asesor en ciberseguridad. “Las amenazas evolucionan a tal velocidad que es casi imposible mantenerse al día”.

Clark admite, sin embargo, que “Microsoft debe ser más dinámico en la forma en que emite sus alertas y recordar que muchos equipos de seguridad son pequeños, y quizás se necesita hacer más para mantener a las personas bien informadas”. Pero la relación es de doble vía. “Por su parte, los equipos de seguridad necesitan los recursos necesarios para que el parcheo se vea como algo más que un lujo”, añade.

Una de las principales preocupaciones de Clark es la rapidez con la que los atacantes ahora pueden aprovechar vulnerabilidades recién descubiertas, algo que atribuye al avance acelerado de la tecnología, en particular de la inteligencia artificial. Advierte que los actores maliciosos están utilizando cada vez más estas herramientas para acelerar sus ataques, lo que probablemente hará que incidentes como este se vuelvan más frecuentes. Microsoft ya confirmó que hackers respaldados por el Estado chino han explotado esta falla.

Solucionar el problema a largo plazo será más complejo, según los expertos. Clark recomienda implementar capas de medidas de seguridad, aislar sistemas críticos y automatizar los parches siempre que sea posible. En última instancia, afirma, las organizaciones “deben alejarse del modelo de parcheo reactivo cuando sea posible”. Aun así, lo que funciona en teoría a menudo no se cumple en la práctica, razón por la cual este tipo de vulnerabilidades siguen apareciendo.