Las investigaciones señalan a Silk Typhoon, un grupo de ciberdelincuentes vinculado al gobierno chino, como uno de los principales autores del ataque a los servidores de SharePoint.
Hackers chinos ligados al gobierno detrás del ataque masivo de servidores de Microsoft: el FBI y medio mundo en alerta
Imagen generada con IA
Por: Juan Manuel Delgado
Una nueva brecha de seguridad ha sacudido el tablero tecnológico, esta vez el blanco ha sido SharePoint, la conocida plataforma empresarial de Microsoft que miles de organismos públicos, empresas y agencias internacionales usan para compartir documentos y coordinar su trabajo.
El fallo, de tipo zero-day, fue descubierto justo cuando ya se estaba explotando, por lo que no dio margen de reacción, lo cual permitió el acceso total a los servidores afectados, incluso tras reinicios, y puso en riesgo información confidencial de alto nivel de entidades de todo el mundo.
Cabe señalar que el impacto ha sido tal que el FBI se ha implicado directamente en la investigación. Los primeros análisis apuntan a un grupo de ciberdelincuentes vinculados al gobierno chino, conocido como Silk Typhoon.
Se detectó que el ataque no se limita a Estados Unidos, hay rastros de conexiones desde servidores comprometidos hacia direcciones IP situadas en China, y se sospecha que el objetivo era obtener información estratégica, claves criptográficas, e incluso instalar puertas traseras en la infraestructura de países rivales.
La amenaza ha evolucionado en cuestión de días en un problema internacional, puesto que afecta a gobiernos, redes críticas y grandes tecnológicas, y vuelve a poner sobre la mesa el debate sobre la fragilidad de los sistemas alojados localmente frente a los riesgos de una guerra digital cada vez más agresiva.
El objetivo era obtener información que interesaban al régimen chino
Microsoft SharePoint es una plataforma usada por miles de organizaciones para gestionar documentos y comunicaciones internas. La vulnerabilidad, identificada como CVE-2025-53770, afectaba a las versiones instaladas localmente, no a las que funcionan desde la nube.
Lo grave es que esta brecha permitía a los atacantes obtener privilegios de administrador sin que el sistema lo detectara. Aunque se reiniciara el servidor, el acceso seguía activo. Además, podían descifrar comunicaciones, manipular archivos o abrir canales ocultos permanentes en los servidores.
Google y Mandiant han señalado que uno de los actores que explotó la brecha de seguridad comparte patrones conocidos de Silk Typhoon. Además, se detectaron conexiones entre servidores estadounidenses comprometidos y direcciones IP situadas en el país asiático.
Es importante mencionar que no es la primera vez que este grupo aparece en el radar de los servicios de inteligencia. El FBI vincula a Xu Zewei, detenido recientemente en Milán, con ataques anteriores del mismo grupo entre 2020 y 2021.
Más allá del sabotaje, el objetivo parece centrarse también en robar secretos industriales, acceder a datos sensibles de gobiernos y aplicar presión geopolítica sin disparar una sola bala. Solo que en esta ocasión el objetivo era obtenerlo de los países que son considerados como enemigos para China.
El fallo ha tenido consecuencias en varios continentes, desde redes gubernamentales en Norteamérica hasta proveedores de tecnología en Europa, muchas organizaciones se han visto obligadas a desconectar sistemas, migrar a la nube o reforzar sus protocolos de seguridad.
El FBI se ha involucrado directamente, tanto en la identificación de los atacantes como en la coordinación de respuestas entre agencias. Varias instituciones afectadas han confirmado que han dejado de usar servidores locales SharePoint como medida preventiva.
Al final, el incidente ha acelerado la necesidad de revisar cómo se gestiona la infraestructura digital en entornos críticos. Los expertos ya lo advierten: otros grupos de hackers están empezando a aprovechar esta misma vulnerabilidad, ya que, si una puerta se ha abierto con éxito, otros intentarán entrar por ella antes de que se cierre.
Los sistemas que siguen operando de forma local, sin actualizaciones constantes ni mecanismos automáticos de detección, son los más vulnerables. El espionaje digital ya no se limita a robar datos, también se utiliza para sembrar incertidumbre, desestabilizar gobiernos o manipular mercados.
Cabe mencionar que los ciberataques como este demuestran que las guerras modernas no necesitan ejércitos, sino que la confrontación entre potencias también se juega en servidores, redes internas, así como bases de datos confidenciales. Los actores y los grupos financiados por gobiernos son cada vez más sofisticados, más difíciles de rastrear y mucho más peligrosos.
El espionaje, la manipulación de infraestructuras críticas, así como el acceso clandestino a redes de inteligencia, forman parte ya de una nueva dimensión del conflicto global. Las defensas tradicionales no sirven en este terreno, por lo que quienes no se adapten, se convertirán en blanco fácil.