La ciberseguridad mundial vuelve a estar en el punto de mira. En agosto de 2025, Microsoft anunció cambios importantes en cómo comparte información sobre vulnerabilidades con sus socios, después de una serie de ataques que explotaron fallos en SharePoint, su plataforma de colaboración usada por millones de organizaciones. Los ataques fueron tan graves que incluso agencias gubernamentales de EE.UU. y empresas del sector energético quedaron comprometidas.
Pero más allá del titular, lo interesante es lo que estos cambios significan para ti y para cualquier empresa que dependa de Microsoft y sus herramientas. En TecnetOne te lo explicamos en detalle.
¿Qué pasó con los ataques a SharePoint?
Todo comenzó a finales de junio de 2025, cuando investigadores de seguridad detectaron dos vulnerabilidades críticas, conocidas como CVE-2025-53770 y CVE-2025-53771, que afectaban a servidores locales de SharePoint. Estas fallas eran zero-day, es decir, vulnerabilidades desconocidas para el fabricante y sin parche disponible en ese momento.
Grupos de cibercriminales vinculados al Estado chino, identificados como Linen Typhoon y Violet Typhoon, comenzaron a explotarlas rápidamente. El impacto fue global: agencias gubernamentales de EE.UU., universidades y empresas energéticas se vieron expuestas. Incluso la Administración Nacional de Seguridad Nuclear de Estados Unidos estuvo en la lista de víctimas potenciales.
Microsoft reaccionó emitiendo parches de emergencia, pero el daño ya estaba hecho: miles de servidores habían sido comprometidos.
También podría interesarte: Australia Acusa a China de Ciberataques a Infraestructuras Críticas
¿Qué es MAPP y por qué es importante en esta historia?
Para entender la reacción de Microsoft, tienes que conocer el Microsoft Active Protections Program (MAPP).
Este programa fue creado por la compañía para compartir información temprana sobre vulnerabilidades con empresas de seguridad y socios tecnológicos. La idea era simple: si los aliados conocen antes los detalles de un fallo, pueden proteger a sus clientes más rápido.
El problema es que esa confianza se filtró. No era la primera vez que ocurría:
- En 2012, Microsoft culpó a una empresa china por filtrar información confidencial de un fallo crítico de Windows.
- En 2021, durante el ataque a servidores de Exchange, se sospechó que datos compartidos por MAPP también terminaron en manos de atacantes.
Tras los incidentes de SharePoint de este año, Microsoft volvió a sospechar de fugas y decidió restringir el acceso a MAPP para empresas chinas.
Los cambios en la política de Microsoft
Desde julio de 2025, Microsoft empezó a aplicar de manera silenciosa nuevas reglas:
- Fin del acceso a “código de prueba de concepto” (PoC)
Hasta ahora, algunos socios recibían ejemplos de cómo podía explotarse una vulnerabilidad. Eso les ayudaba a probar sus defensas… pero también podía usarse para preparar ataques antes de que los parches llegaran a todas partes.
- Solo descripciones generales para ciertos países
En lugar de compartir código, ahora Microsoft solo entregará un resumen escrito de la vulnerabilidad, acompañado del parche oficial.
- Mayor supervisión a los miembros de MAPP
Cualquier empresa que viole las reglas —por ejemplo, participando en ataques ofensivos— será suspendida o eliminada del programa.
En palabras de David Cuddy, portavoz de Microsoft:
“Sabemos del potencial de abuso, y por eso tomamos medidas, algunas públicas y otras confidenciales, para prevenirlo. Revisamos continuamente a los participantes y actuamos si detectamos incumplimientos”.
Conoce más: ¿Qué es La Respuesta a Incidentes en Ciberseguridad?
El papel de China y las tensiones geopolíticas
Microsoft no acusó directamente al gobierno chino, pero sí vinculó los ataques a grupos patrocinados por el Estado. Pekín, como era de esperar, negó cualquier responsabilidad, argumentando que China “se opone y combate la piratería informática de acuerdo con la ley”.
Este tipo de intercambios son cada vez más comunes. La ciberseguridad se ha convertido en un terreno de fricción geopolítica, y gigantes tecnológicos como Microsoft se encuentran en medio del conflicto.
Para ti como empresa, esto significa que el riesgo de que tus herramientas tecnológicas se usen como campo de batalla es real. No importa si eres una pyme o una multinacional: si usas software ampliamente adoptado, estás en el radar de los atacantes.
Lecciones del caso SharePoint
Más allá del conflicto entre Microsoft y China, este episodio deja aprendizajes claros para cualquier organización:
- El tiempo es crítico
Los atacantes tardan minutos en explotar un fallo. En cambio, las empresas suelen tardar horas o días en investigar una alerta. Esto crea una brecha peligrosa.
- Las vulnerabilidades zero-day no son ciencia ficción
Ya no son ataques raros reservados para gobiernos o espías. Hoy son parte de la realidad diaria de la ciberseguridad.
- La confianza ciega en terceros es un riesgo
Programas como MAPP muestran que incluso con buenas intenciones, la información sensible puede filtrarse y usarse en tu contra.
- La segmentación y la visibilidad son claves
Si tu infraestructura está distribuida entre nube, servidores locales y múltiples proveedores, tener un control unificado de accesos y parches es fundamental.
¿Qué puedes hacer en tu empresa?
En TecnetOne sabemos que noticias como esta pueden parecer lejanas, pero en realidad tocan directamente tu día a día. Aquí te dejamos algunas medidas prácticas que puedes aplicar:
Refuerza la gestión de vulnerabilidades
No basta con esperar a que llegue el parche. Implementa procesos de inventario de activos, prioriza qué sistemas son críticos y asegúrate de aplicar actualizaciones en cuanto estén disponibles.
Haz simulacros de respuesta a incidentes
Imagina que mañana aparece un nuevo “ToolShell” (como Microsoft bautizó a este ataque). ¿Qué haría tu equipo? Tener un plan probado de respuesta a incidentes puede ahorrarte millones en pérdidas.
Monitorea identidades y accesos
La mayoría de ataques aprovechan credenciales válidas. Con herramientas de gestión de identidades y accesos (IAM) puedes detectar movimientos anómalos y reducir la superficie de ataque.
Integra inteligencia de amenazas
No te quedes solo con la información de tu proveedor. Conecta tu seguridad a fuentes de inteligencia que te alerten sobre campañas activas, como las de Linen Typhoon o Violet Typhoon.
Evalúa la cadena de suministro digital
Si un proveedor falla, el impacto llega a tu empresa. Es hora de revisar qué terceros tienen acceso a tus sistemas y cómo protegen la información que manejan.
Conclusión: un recordatorio de lo que está en juego
El caso de Microsoft y los ataques vinculados a China no es un incidente aislado. Es una muestra de cómo evoluciona la ciberseguridad global: más rápida, más agresiva y más conectada con la geopolítica.
En TecnetOne creemos que la lección más importante es esta: no puedes controlar lo que hagan gigantes como Microsoft o lo que decidan gobiernos extranjeros, pero sí puedes controlar tu nivel de preparación y resiliencia.
Mantener tu infraestructura actualizada, reforzar la seguridad de identidades y contar con un plan de respuesta a incidentes no es opcional: es la base para que tu negocio siga funcionando incluso en medio de una tormenta digital.
