Bloomberg — El número de empresas y organizaciones comprometidas por una vulnerabilidad de seguridad en los servidores SharePoint de Microsoft Corp (MSFT) está aumentando rápidamente, y el recuento de víctimas se ha multiplicado por más de seis en pocos días, según una empresa de investigación.
Los piratas informáticos han vulnerado alrededor de 400 organismos gubernamentales, empresas y otros grupos, según las estimaciones de Eye Security, la empresa holandesa de ciberseguridad que identificó una primera oleada de los ataques la semana pasada. Esta cifra es superior a las aproximadamente 60 según su estimación anterior facilitada a Bloomberg News el martes.
Ver más: Ciberataque a través de Microsoft SharePoint afectó la Agencia de Armas Nucleares de EE.UU.
La empresa de seguridad señaló que la mayoría de las víctimas se encuentran en Estados Unidos, seguidas de República de Mauricio, Jordania, Sudáfrica y los Países Bajos. La Administración Nacional de Seguridad Nuclear, la agencia estadounidense responsable del mantenimiento y diseño del arsenal de armas nucleares de la nación, se encontraba entre las vulneradas, según informó Bloomberg anteriormente.
Los hackeos se encuentran entre las últimas brechas importantes de las que Microsoft ha culpado, al menos en parte, a China y se producen en medio de las crecientes tensiones entre Washington y Pekín sobre la seguridad mundial y el comercio. Estados Unidos ha criticado repetidamente a China por las campañas que supuestamente han robado secretos gubernamentales y corporativos durante décadas.
“Estimamos que la cifra real podría ser mucho mayor, ya que puede haber muchas más formas ocultas de comprometer servidores que no dejan rastro”, declaró Vaisha Bernard, copropietaria de Eye Security, en un correo electrónico enviado a Bloomberg News. “Esto aún está en desarrollo y otros adversarios oportunistas siguen explotando servidores vulnerables”.
¿Cómo operan los piratas informáticos?
Las organizaciones comprometidas en las brechas de SharePoint incluyen muchas que trabajan en el gobierno, la educación y los servicios de tecnología, dijo Bernard. Hubo un número menor de víctimas en países de Europa, Asia, Medio Oriente y Sudamérica.
Según Sveva Scenarelli, analista de amenazas de Recorded Future Inc., los piratas informáticos respaldados por el Estado tienden a explotar las principales debilidades de ciberseguridad, como la vulnerabilidad de SharePoint, en oleadas. Comienzan con ataques secretos y selectivos y, una vez descubierta la vulnerabilidad, empiezan a utilizarla de forma más indiscriminada.
Ver más: Ataques a SharePoint aumentan presión sobre la reforma de ciberseguridad de Microsoft
“Una vez obtenido el acceso, los grupos de amenazas individuales pueden clasificar las organizaciones comprometidas y dar prioridad a las que les interesen especialmente para continuar su actividad”, explica Scenarelli, del Grupo Insikt de la empresa de ciberinteligencia. Según ella, esto puede incluir la búsqueda de formas de mantener el acceso a una red comprometida, profundizar en ella y establecer rutas para robar información confidencial.
El Secretario del Tesoro estadounidense, Scott Bessent, que se reunirá con sus homólogos chinos en Estocolmo la próxima semana para una tercera ronda de conversaciones comerciales, sugirió este miércoles en una entrevista de Bloomberg Television que se hablará de los hackeos de SharePoint. “Obviamente, este tipo de cosas estarán en la agenda con mis homólogos chinos”, afirmó.
¿Quién estaría detrás de los ataques?
Los fallos de seguridad permiten a los piratas informáticos acceder a los servidores de SharePoint y robar claves que pueden permitirles hacerse pasar por usuarios o servicios, permitiendo potencialmente un acceso profundo a las redes comprometidas para robar datos confidenciales. Microsoft ha publicado parches para corregir las vulnerabilidades, pero los investigadores advirtieron de que los piratas informáticos podrían haber conseguido ya introducirse en muchos servidores.
Microsoft acusó el martes a los hackers chinos patrocinados por el Estado conocidos como Linen Typhoon y Violet Typhoon de estar detrás de los ataques. Otro grupo de piratas informáticos con base en China, al que Microsoft denomina Storm-2603, también se aprovechó de ellos, según la empresa.
La compañía de Redmond, Washington, ha culpado repetidamente a China de los principales ciberataques. En 2021, una supuesta operación china comprometió decenas de miles de servidores Microsoft Exchange. En 2023, otro supuesto ataque chino a Microsoft Exchange comprometió las cuentas de correo electrónico de altos funcionarios estadounidenses. Una revisión del gobierno estadounidense acusó posteriormente a Microsoft de una “cascada de fallos de seguridad” por el incidente de 2023.
Eugenio Benincasa, investigador del Centro de Estudios de Seguridad de la ETH de Zúrich especializado en el análisis de los ciberataques chinos, afirmó que los miembros de los grupos identificados por Microsoft habían sido acusados anteriormente en Estados Unidos por su presunta implicación en campañas de piratería informática dirigidas contra organizaciones estadounidenses. Son bien conocidos por su “extenso espionaje”, afirmó.
Según Benincasa, es probable que las violaciones de SharePoint estén siendo llevadas a cabo por grupos proxy que trabajan con el gobierno, en lugar de que sean agencias gubernamentales chinas las que realicen directamente el pirateo informático. Las empresas privadas de pirateo informático del país participan a veces en operaciones de “hacker de alquiler”, añadió.
Ver más: Microsoft acusa a hackers chinos de estar detrás de los ataques a SharePoint
“Ahora que, según los informes, al menos tres grupos han explotado la misma vulnerabilidad, es plausible que les sigan más”, dijo.
“La ciberseguridad es un desafío común al que se enfrentan todos los países y que debe abordarse conjuntamente mediante el diálogo y la cooperación”, declaró el portavoz del Ministerio de Asuntos Exteriores chino, Guo Jiakun. “China se opone y combate las actividades de piratería informática de acuerdo con la ley. Al mismo tiempo, nos oponemos a las difamaciones y ataques contra China con la excusa de cuestiones de ciberseguridad”.
Según Microsoft, el grupo de piratas informáticos Tifón Lino fue identificado por primera vez en 2012, y está centrado en el robo de propiedad intelectual, principalmente dirigido a organizaciones relacionadas con el gobierno, la defensa, la planificación estratégica y los derechos humanos. Violet Typhoon, observado por primera vez en 2015, estaba “dedicado al espionaje” y tenía como objetivo principal a antiguos miembros del gobierno y personal militar, organizaciones no gubernamentales, así como sectores de los medios de comunicación y la educación en EE.UU., Europa y Asia Oriental.
Los piratas informáticos también han utilizado los fallos de SharePoint para irrumpir en sistemas pertenecientes al Departamento de Educación de EE.UU., el Departamento de Hacienda de Florida y la Asamblea General de Rhode Island, según informó anteriormente Bloomberg.
Lea más en Blommberg.com
