Por James Pearson
LONDRES, 22 jul (Reuters) – Un parche de seguridad que Microsoft publicó este mes no solucionó por completo un fallo crítico en el software de servidor SharePoint del gigante tecnológico estadounidense, lo que abrió la puerta a un amplio esfuerzo mundial de ciberespionaje, según muestra una cronología revisada por Reuters.
El martes, un portavoz de Microsoft confirmó que su solución inicial a este fallo, identificado en una competición de hackers en mayo, no funcionó, pero añadió que había publicado otros parches que resolvían el problema.
Aún no está claro quién está detrás del espionaje, que afectó a unas 100 organizaciones durante el fin de semana, y se espera que se extienda a medida que se unan otros piratas informáticos.
En una entrada de blog, Microsoft afirmó que dos grupos de piratas informáticos supuestamente chinos, apodados “Linen Typhoon” y “Violet Typhoon”, estaban explotando los puntos débiles, junto con un tercero, también con base en China.
Microsoft y Google, de Alphabet, han afirmado que probablemente detrás de la primera oleada de ataques estuvieron piratas informáticos vinculados a China.
Los operativos vinculados al Gobierno chino están implicados regularmente en ciberataques, pero Pekín niega sistemáticamente tales operaciones de piratería informática.
En un comunicado enviado por correo electrónico, su embajada en Washington afirmó que China se opone a toda forma de ciberataque y a “difamar a otros sin pruebas sólidas”.
La vulnerabilidad que abrió el camino al ataque fue identificada por primera vez en mayo en un concurso de “hacking” organizado en Berlín por la empresa de ciberseguridad Trend Micro , que ofrecía recompensas en metálico por encontrar fallos informáticos en software popular.
Se ofrecía un premio de 100.000 dólares por las llamadas vulnerabilidades de “día cero” que aprovecharan puntos débiles digitales no revelados previamente y que pudieran utilizarse contra SharePoint, la plataforma insignia de gestión de documentos y colaboración de Microsoft.
La Administración Nacional de Seguridad Nuclear de EEUU, encargada de mantener y diseñar el arsenal de armas nucleares del país, fue uno de los organismos atacados, según informó Bloomberg News el martes, citando a una persona con conocimiento del asunto.
No se tiene constancia de que se haya visto comprometida ninguna información confidencial o clasificada, añadió.
El Departamento de Energía de Estados Unidos, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EEUU y Microsoft no respondieron inmediatamente a las peticiones de Reuters para comentar esta información.
Un investigador de la división de ciberseguridad de Viettel, una empresa de telecomunicaciones dirigida por el ejército vietnamita, identificó un fallo de SharePoint en el evento de mayo, lo bautizó como “ToolShell” y demostró cómo explotarlo.
El descubrimiento le valió un premio de 100.000 dólares, según una publicación en la red social X de la “Iniciativa Día Cero” de Trend Micro.
Los vendedores participantes eran responsables de parchear y divulgar los fallos de seguridad de “forma eficaz y oportuna”, dijo Trend Micro en un comunicado.
“Los parches fallarán ocasionalmente”, añadió. “Esto ha ocurrido con SharePoint en el pasado”.
En una actualización de seguridad del 8 de julio, Microsoft dijo que había identificado el fallo, lo catalogó como una vulnerabilidad crítica y lanzó parches para solucionarlo.
Unos 10 días más tarde, sin embargo, las empresas de ciberseguridad comenzaron a notar una afluencia de actividad maliciosa en internet dirigida al mismo software que el bug buscaba explotar: servidores de SharePoint.
La empresa británica de ciberseguridad Sophos publicó el lunes un artículo en su blog en el que afirmaba que “las amenazas han desarrollado posteriormente vulnerabilidades que parecen eludir estos parches”.
El abanico de objetivos potenciales de ToolShell sigue siendo enorme.
En teoría, los piratas informáticos podrían haber comprometido ya más de 8.000 servidores en internet, según datos del motor de búsqueda Shodan, que ayuda a identificar equipos conectados a internet.
Dichos servidores se encontraban en redes que iban desde auditoras, bancos, empresas sanitarias y grandes firmas industriales hasta organismos gubernamentales estatales e internacionales de Estados Unidos.
La Fundación Shadowserver, que analiza internet en busca de posibles vulnerabilidades digitales, cifró el número en algo más de 9.000, advirtiendo de que se trata de una cifra mínima.
La Fundación Shadowserver dijo que la mayoría de los afectados se encontraban en Estados Unidos y Alemania.
La oficina federal alemana de seguridad de la información, BSI, dijo el martes que no había encontrado servidores SharePoint comprometidos en redes gubernamentales, a pesar de que algunos eran vulnerables al ataque ToolShell.
(Información de James Pearson; información adicional de Raphael Satter, AJ Vicens y Dheeraj Kumar; edición de Rod Nickel y Clarence Fernandez; edición en español de María Bayarri Cárdenas)
