CISA alerta sobre vulnerabilidades críticas de Microsoft SharePoint explotadas activamente: lo que las organizaciones deben hacer ahora
Por Fredy Avila
Introducción
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) ha emitido una alerta urgente sobre la explotación activa de múltiples vulnerabilidades críticas que afectan a Microsoft SharePoint Server en entornos locales (on-premises). Estas fallas permiten a los atacantes evadir mecanismos de autenticación, ejecutar código de forma remota y obtener persistencia dentro de las infraestructuras comprometidas, convirtiéndose en una amenaza significativa para organizaciones públicas y privadas.
La advertencia ha generado preocupación en la comunidad de ciberseguridad debido a la amplia adopción de SharePoint como plataforma de colaboración y gestión documental en empresas, universidades y entidades gubernamentales alrededor del mundo.
¿Qué vulnerabilidades están siendo explotadas?
Según la información publicada por CISA, los atacantes están aprovechando activamente tres vulnerabilidades identificadas como:
- CVE-2026-32201
- CVE-2026-45659
- CVE-2026-56164
Estas fallas afectan a todas las versiones compatibles de SharePoint Server instaladas localmente, incluyendo SharePoint Server Subscription Edition, la versión más reciente de la plataforma. Los ataques observados permiten la evasión de autenticación, la ejecución remota de código (RCE) y actividades posteriores a la explotación orientadas al robo de credenciales y la instalación de malware.
Además, Microsoft corrigió dos vulnerabilidades adicionales, identificadas como CVE-2026-55040 y CVE-2026-58644, que aunque no presentan evidencia de explotación activa hasta el momento, han sido catalogadas como objetivos atractivos para futuros ataques.
Riesgos para las organizaciones
La explotación de estas vulnerabilidades representa un riesgo elevado debido a que SharePoint suele contener información crítica de negocio, documentos estratégicos, registros administrativos y datos sensibles.
De acuerdo con la alerta, los atacantes pueden:
- Obtener acceso no autorizado a los servidores.
- Ejecutar comandos de forma remota.
- Robar claves de máquina de Internet Information Services (IIS).
- Instalar malware para mantener persistencia.
- Desplegar herramientas de movimiento lateral dentro de la red corporativa.
- Comprometer información confidencial almacenada en la plataforma.
Lo más preocupante es que estas acciones pueden realizarse sobre servidores expuestos directamente a Internet, lo que amplía considerablemente la superficie de ataque.
Dimensionando el problema
La organización Shadowserver reportó cerca de 10.000 servidores SharePoint expuestos a Internet, de los cuales más de 800 permanecían sin parchear frente a algunas de las vulnerabilidades notificadas por CISA. Esta cifra evidencia que numerosas organizaciones continúan operando sistemas susceptibles a ataques exitosos.
La situación recuerda una realidad persistente en la gestión de ciberseguridad: muchas brechas no ocurren por vulnerabilidades desconocidas, sino por la falta de aplicación oportuna de actualizaciones de seguridad.
Recomendaciones de CISA y Microsoft
Ante el escenario actual, CISA recomienda a los equipos de seguridad actuar de manera inmediata mediante las siguientes acciones:
1. Aplicar los parches de seguridad
La medida más importante es instalar las actualizaciones publicadas por Microsoft y verificar que la implementación haya sido exitosa.
2. Monitorear indicadores de compromiso
Las organizaciones deben revisar registros de eventos, accesos sospechosos y actividad inusual en los servidores SharePoint para detectar posibles compromisos previos.
3. Habilitar mecanismos de protección adicionales
CISA recomienda utilizar:
- Windows Antimalware Scan Interface (AMSI).
- Microsoft Defender Antivirus.
- Capacidades avanzadas de monitoreo y detección.
4. Reducir la exposición a Internet
Siempre que sea posible, los servidores SharePoint no deberían estar expuestos directamente a Internet. También se recomienda restringir el acceso a la administración central y limitar las comunicaciones únicamente a sistemas autorizados.
5. Revisar artefactos de intrusión
Antes de realizar cambios en claves o configuraciones críticas, los administradores deben identificar y eliminar cualquier mecanismo de persistencia que pudiera haber sido instalado por los atacantes.
Lecciones para los equipos de ciberseguridad
Este incidente pone de manifiesto varios principios fundamentales de la seguridad informática moderna:
- La gestión de vulnerabilidades debe ser un proceso continuo.
- La aplicación rápida de parches es un control crítico de defensa.
- Los servicios expuestos a Internet requieren monitoreo permanente.
- La detección temprana puede reducir significativamente el impacto de una intrusión.
- Las plataformas colaborativas son objetivos prioritarios para los ciberdelincuentes debido al alto valor de la información que almacenan.
Conclusión
La reciente alerta de CISA sobre la explotación activa de vulnerabilidades en Microsoft SharePoint representa un recordatorio de que las amenazas continúan evolucionando y apuntan cada vez más a aplicaciones empresariales críticas. Las organizaciones que utilizan SharePoint en entornos locales deben evaluar de inmediato su exposición, aplicar los parches correspondientes y fortalecer sus mecanismos de monitoreo y respuesta ante incidentes.
En un contexto donde los ataques son cada vez más rápidos y sofisticados, la capacidad de reaccionar oportunamente frente a las alertas de seguridad puede marcar la diferencia entre una actualización rutinaria y una brecha de seguridad de gran impacto.
Fuente
BleepingComputer. CISA warns admins to patch actively exploited SharePoint flaws. Publicado el 15 de julio de 2026. https://www.bleepingcomputer.com/news/security/cisa-warns-admins-to-patch-actively-exploited-sharepoint-flaws/
CISA. CISA Urges SharePoint Hardening After New Exploitations. Publicado el 15 de julio de 2026. https://www.cisa.gov/news-events/alerts/2026/07/14/cisa-urges-sharepoint-hardening-after-new-exploitations
