Esta vez, actores maliciosos —aún no identificados— lograron infiltrarse en la red de la Administración Nacional de Seguridad Nuclear (NNSA), aprovechando una cadena de vulnerabilidades zero-day en Microsoft SharePoint, que por cierto, ya ha sido parcheada recientemente.
Para quienes no la conocen, la NNSA es una agencia semiautónoma que forma parte del Departamento de Energía de los Estados Unidos. Su misión no es menor: proteger el arsenal nuclear del país y responder ante emergencias nucleares y radiológicas tanto en territorio nacional como en el extranjero.
Un portavoz del Departamento de Energía confirmó el incidente. Según su declaración, los atacantes accedieron a las redes de la NNSA durante la última semana.
“El viernes 18 de julio comenzamos a detectar actividad relacionada con la explotación de una vulnerabilidad zero-day en Microsoft SharePoint, que afectó al Departamento de Energía, incluida la NNSA”, explicó Ben Dietderich, secretario de prensa del Departamento.
La buena noticia es que el impacto fue limitado. Según Dietderich, el uso generalizado de servicios en la nube de Microsoft M365 y los sistemas de ciberseguridad internos ayudaron a contener el ataque. Afirmó que solo “un número muy pequeño de sistemas” fue comprometido, y que “todos los sistemas afectados están siendo restaurados”.
Además, según fuentes internas citadas por Bloomberg, no hay indicios —al menos por ahora— de que se haya filtrado información clasificada o extremadamente sensible.
Y no es la primera vez que la NNSA sufre un susto de este tipo. En 2019, el grupo APT29 (vinculado al Servicio de Inteligencia Exterior de Rusia, SVR) logró violar la misma agencia a través de una actualización comprometida del software SolarWinds Orion.
Esta semana, tanto Microsoft como Google confirmaron lo que muchos en el mundo de la ciberseguridad ya sospechaban: varios grupos de hackers respaldados por el gobierno chino están detrás de una ola de ataques masivos que explotan vulnerabilidades zero-day en Microsoft SharePoint. Este conjunto de fallos, conocido como ToolShell, ha permitido comprometer cientos de servidores en todo el mundo.
Según Microsoft, los grupos Linen Typhoon y Violet Typhoon, ambos con vínculos al gobierno chino, fueron detectados explotando estas vulnerabilidades en servidores SharePoint expuestos a internet. A ellos se suma el grupo Storm-2603, también con base en China, que estaría utilizando el mismo método. Y lo más preocupante es que la investigación sigue en curso: podrían haber más actores involucrados.
La empresa de ciberseguridad Eye Security, con sede en Países Bajos, fue una de las primeras en lanzar la alerta. Detectaron los primeros indicios el pasado viernes y estimaron que al menos 54 organizaciones ya habían sido comprometidas, incluyendo agencias gubernamentales y grandes corporaciones multinacionales.
Pero la situación es aún más grave. Según declaraciones recientes del CTO de Eye Security, Piet Kerkhofs, el número real de entidades afectadas supera ampliamente esa estimación inicial. De hecho, sus datos muestran que al menos 400 servidores ya han sido infectados con malware, y que 148 organizaciones en todo el mundo están comprometidas, muchas de ellas sin saberlo desde hace semanas.
La firma Check Point también confirmó estos hallazgos, revelando que los ataques podrían haberse iniciado desde el 7 de julio, apuntando principalmente a entidades gubernamentales, de telecomunicaciones y tecnológicas en América del Norte y Europa Occidental.
Como respuesta, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) agregó la vulnerabilidad CVE-2025-53770 (clave en la cadena de exploits ToolShell) a su catálogo de fallos activamente explotados. Y actuó con contundencia: dio solo 24 horas a las agencias federales para aplicar el parche correspondiente.
Estos ataques dejan claro algo muy importante: las vulnerabilidades en plataformas ampliamente utilizadas como SharePoint son terreno fértil para amenazas globales. Si aún no has auditado tus sistemas, este es el momento ideal para hacerlo. Porque si ToolShell nos enseña algo, es que la próxima organización comprometida podría ser la tuya.