NotiPress
Una cantidad incontable de ciberdelitos se han registrado en empresas con información sumamente clasificada a lo largo de todo el mundo. A causa de la sutileza con la que trabajan los atacantes, su origen es muchas veces indescifrable. No obstante, algunas compañías tecnológicas se han tomado el trabajo de seguirles el rastro. Ese camino muchas veces los ha llevado hasta Oriente. Ese es el caso ocurrido en torno a SharePoint, un sistema que, según indicaron las compañías, fue aprovechado por hackers respaldados por el gobierno de China.
La investigación estuvo a cargo de expertos en seguridad de Google y Microsoft. Ambas compañías descubrieron cómo estos hackers aprovechan una falla en SharePoint que permite la extracción de claves privadas y el control remoto de servidores afectados, lo que expone a empresas y organismos públicos a espionaje y robo de información.
Las sospechas iniciaron cuando expertos detectaron actividad inusual relacionada con versiones autoalojadas de SharePoint. Esta plataforma es ampliamente utilizada por organizaciones para compartir y administrar documentos internos. Al ser explotada, la vulnerabilidad permite a los atacantes instalar malware, acceder a archivos y desplazarse lateralmente dentro de redes corporativas.
El martes 22 de julio, Microsoft publicó un informe en el que atribuyó los ataques a al menos tres grupos respaldados por China: “Linen Typhoon”, “Violet Typhoon” y “Storm-2603”. Según la compañía, Linen Typhoon estaría enfocado en el robo de propiedad intelectual, mientras que Violet Typhoon realiza actividades de espionaje. En el caso de Storm-2603, Microsoft indicó que tiene menor información, pero lo relacionó con campañas anteriores de ransomware.
De acuerdo con la investigación, estos grupos comenzaron a explotar la vulnerabilidad desde el 7 de julio. Las organizaciones afectadas incluyen tanto empresas privadas como entidades del sector público, indicó Microsoft. La empresa ha lanzado parches para las versiones comprometidas, pero advirtió que los usuarios de entornos autoalojados deben asumir un posible compromiso de seguridad.
Desde Google, Charles Carmakal, director de tecnología en la división Mandiant, confirmó por correo a TechCrunch que “al menos uno de los actores responsables” tiene vínculos con China y advirtió que “múltiples actores ahora están explotando activamente esta vulnerabilidad”.
El carácter de “día cero” del fallo implica que los ataques comenzaron antes de que existiera una actualización oficial de seguridad, lo cual complica la defensa de los sistemas comprometidos. Esta situación ha provocado una reacción urgente por parte de equipos técnicos en todo el mundo para mitigar los daños y proteger la infraestructura tecnológica.
Consultado por TechCrunch, Liu Pengyu, portavoz de la Embajada de China en Washington D.C., declaró que su país “se opone firmemente y combate todas las formas de ataques cibernéticos y delitos cibernéticos, una posición que es consistente y clara”.
Este caso no solo se suma a una serie de ataques atribuidos a China, sino que además alimenta las tensiones entre el gigante asiático y Estados Unidos. Actualmente, autoridades y expertos continúan monitoreando la evolución de los ataques mientras se fortalece la respuesta técnica ante posibles nuevas amenazas.