Agencia de ciberseguridad de Estados Unidos advierte sobre fallas activas en SharePoint Server

Qué pasó
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) advirtió el martes 14 de julio de 2026 que actores maliciosos están explotando de manera activa tres vulnerabilidades que afectan a instancias locales de Microsoft SharePoint Server expuestas a Internet. Las fallas, registradas como CVE-2026-32201, CVE-2026-45659 y CVE-2026-56164, impactan a todas las versiones compatibles del producto en modalidad local, incluida SharePoint Server Subscription Edition, la versión más reciente para entornos on-premises, que opera bajo un modelo de actualización continua.
Según la advertencia publicada por la autoridad estadounidense, los atacantes utilizan estas brechas de seguridad para eludir los mecanismos de autenticación, obtener ejecución remota de código y llevar adelante actividades posteriores a la explotación inicial. Entre estas últimas se incluye el robo de claves de máquina de los servicios de información de Internet (IIS) de Microsoft y la obtención de persistencia en los sistemas comprometidos para el despliegue de software malicioso.
Adicionalmente, CISA incluyó en su alerta dos vulnerabilidades adicionales de SharePoint Server (CVE-2026-55040 y CVE-2026-58644), corregidas por Microsoft el mismo martes y catalogadas como objetivos atractivos para atacantes, aunque sin evidencia pública de explotación activa hasta el momento. La organización de monitoreo Shadowserver contabiliza actualmente cerca de 10.000 servidores SharePoint de Microsoft expuestos a Internet, de los cuales más de 800 permanecen sin parches frente a CVE-2026-32201 y CVE-2026-45659. No existen datos públicos sobre cuántos de esos servidores son vulnerables a los ataques mediante CVE-2026-56164 ni sobre su posible uso como sistemas trampa (honeypots).
La agencia estadounidense recomendó a los equipos de seguridad monitorear de forma estrecha los servidores afectados en busca de indicios de compromiso, aplicar los parches más recientes de Microsoft y verificar su correcta instalación. Asimismo, sugirió acortar los ciclos de actualización, habilitar la integración de la interfaz de análisis antimalware de Windows (AMSI) en las aplicaciones web de SharePoint, y utilizar las detecciones de Microsoft Defender Antivirus (MDAV) para identificar y remediar compromisos.
Entre las medidas de hardening adicionales, CISA incluyó la búsqueda y remediación de artefactos de intrusión antes de rotar las claves de máquina de IIS, el establecimiento de registros personalizados para detectar actividad anómala, evitar la exposición directa a Internet de los servidores SharePoint salvo que sea estrictamente necesario, y revisar la guía oficial de fortalecimiento de seguridad publicada por Microsoft. CISA incorporó las tres vulnerabilidades explotadas activamente a su Catálogo de Vulnerabilidades Explotadas Conocidas en fechas sucesivas: el 14 de abril (CVE-2026-32201), el 1 de julio (CVE-2026-45659) y el 14 de julio (CVE-2026-56164). Las agencias federales estadounidenses disponen hasta el 17 de julio para asegurar sus servidores SharePoint.
Contexto
SharePoint Server es una de las plataformas de gestión documental y colaboración empresarial más extendidas en el mundo corporativo, particularmente en organizaciones que mantienen parte de su infraestructura tecnológica en sus propios centros de datos, en lugar de operar exclusivamente en la nube pública. Si bien Microsoft ha impulsado la migración hacia su oferta cloud, un número significativo de grandes empresas, entidades gubernamentales e instituciones financieras continúa utilizando versiones locales por motivos de cumplimiento normativo, soberanía de datos o integración con sistemas legacy.
La superficie de ataque que representan los servidores SharePoint expuestos a Internet es un problema recurrente en la industria. Investigaciones previas de firmas de ciberseguridad han documentado cómo grupos de atacantes, incluidos algunos vinculados a Estados-nación, han utilizado vulnerabilidades en esta plataforma como vector de entrada inicial para comprometer cadenas de suministro completas. La persistencia mediante el robo de claves de máquina de IIS es una técnica especialmente preocupante, ya que permite a los atacantes mantener acceso incluso después de la aplicación de parches.
La alerta de CISA se enmarca en una tendencia más amplia de presión regulatoria hacia las organizaciones para fortalecer sus procesos de gestión de vulnerabilidades. En Estados Unidos, la directiva Binding Operational Directive 19-02 obliga a las agencias federales a remediar las vulnerabilidades catalogadas por CISA dentro de plazos definidos, política que ha sido emulada en distintas jurisdicciones. El hecho de que dos de las tres vulnerabilidades explotadas hayan sido incorporadas al catálogo recién semanas antes de su explotación masiva sugiere una aceleración en los tiempos de respuesta de los grupos de atacantes.
Por su parte, Microsoft ha incrementado su inversión en herramientas de protección para SharePoint en modalidad local, incluyendo las integraciones con AMSI y las detecciones de Defender for Endpoint, precisamente para reducir la ventana de exposición cuando aparecen nuevas vulnerabilidades. No obstante, la eficacia de estas herramientas depende de su correcta configuración y de la disciplina operativa de los equipos de tecnología.
Impacto para empresas chilenas
En Chile, SharePoint Server en modalidad local es utilizado por un número relevante de empresas de gran tamaño, bancos, instituciones públicas y universidades, particularmente en sectores donde el manejo de información sensible o la regulación sectorial desincentivan la migración completa a la nube. Las vulnerabilidades alertadas por CISA representan un riesgo concreto para aquellas organizaciones que mantienen instancias de SharePoint accesibles desde redes externas, ya sea de manera intencional para colaboradores remotos o por configuraciones de seguridad deficientes.
El mercado corporativo chileno ha mostrado en los últimos años un avance gradual hacia servicios en la nube, pero la transición no es homogénea. Sectores como la minería, la banca y la administración pública mantienen cargas de trabajo críticas sobre infraestructura local, lo que los expone de manera directa a campañas de explotación como la reportada por la autoridad estadounidense. Adicionalmente, la mediana empresa chilena que adoptó SharePoint en la última década y que no ha modernizado su plataforma se encuentra en una posición de mayor vulnerabilidad, dado que suele carecer de equipos de seguridad dedicados o de procesos formales de gestión de parches.
Para las áreas de tecnología locales, la alerta de CISA refuerza la necesidad de mantener inventarios actualizados de los servidores SharePoint expuestos, aplicar los parches de Microsoft con la mayor celeridad posible y revisar los registros de actividad en busca de indicadores de compromiso. La recomendación de evitar la exposición directa a Internet resulta particularmente pertinente en el contexto chileno, donde muchas empresas han habilitado accesos remotos durante los últimos años sin fortalecer de manera proporcional las medidas de protección perimetral.
En términos regulatorios, el mercado chileno no cuenta todavía con una obligación equivalente a la Binding Operational Directive estadounidense, pero el marco de la Ley 19.628 sobre protección de datos personales y las crecientes exigencias de la Comisión para el Mercado Financiero en materia de ciberseguridad han elevado el estándar de diligencia esperado. Una brecha de seguridad explotada mediante estas vulnerabilidades podría derivar en sanciones regulatorias, acciones legales y daño reputacional significativo.
Qué sigue
Es esperable que en las próximas semanas se publiquen investigaciones adicionales sobre la naturaleza de los actores detrás de la explotación activa y sobre el alcance real de los compromisos detectados. La aparición de nuevas variantes de malware diseñadas específicamente para entornos SharePoint es una posibilidad concreta, dado que el robo de claves de máquina de IIS facilita la persistencia a largo plazo en las redes afectadas.
Para el ecosistema empresarial, el episodio confirma que la gestión de vulnerabilidades en plataformas on-premises continuará siendo un desafío estratégico, incluso en un escenario de migración progresiva hacia la nube. Las organizaciones deberán evaluar de forma periódica si el costo y el riesgo de mantener infraestructura local sigue siendo justificable frente a alternativas de colaboración gestionadas con menores exigencias de mantenimiento operativo.
¿Necesitas software que se adapte exactamente a tu negocio?
Web apps, dashboards, APIs y plataformas a medida. Código propio, sin licencias ni plataformas genéricas.
Cotiza tu proyectoRespuesta en menos de 24h · Cotizacion sin compromiso
Artículos Relacionados

Railway capta US$100 millones para competir con AWS en infraestructura cloud nativa para inteligencia artificial
La plataforma cloud con sede en San Francisco anunció una ronda Serie B liderada por TQ Ventures, con la que busca posicionarse como alternativa a los proveedores tradicionales como Amazon Web Services y Google Cloud. La compañía, que ya cuenta con dos millones de desarrolladores y procesa más de diez millones de despliegues mensuales, apunta a reducir los tiempos de implementación que resultan críticos en la era de los asistentes de programación basados en inteligencia artificial. La valoración la sitúa entre las startups de infraestructura más relevantes surgidas durante el actual ciclo de inversión en IA.

Apple reporta US$ 1,4 billones en transacciones de la App Store, donde el 90% no paga comisiones a la compañía
La tecnológica estadounidense presentó su informe anual sobre el ecosistema de su tienda de aplicaciones, indicando que las facturaciones y ventas de desarrolladores alcanzaron los US$ 1,4 billones durante 2025. Según la compañía, el 90% de esas transacciones no generaron comisiones para Apple. El reporte se publica días antes de la Conferencia Mundial de Desarrolladores (WWDC), donde se esperan anuncios relevantes en materia de inteligencia artificial.

Nuevo modelo de cobro de GitHub Copilot genera rechazo entre desarrolladores por alza en costos
Microsoft anunció el cambio desde una tarifa plana a un modelo de facturación basado en el consumo de tokens para GitHub Copilot, lo que provocaría un aumento significativo en los costos para usuarios individuales y pequeñas empresas. Desarrolladores en foros como Reddit y X reportaron incrementos que van desde US$29 hasta cerca de US$750 mensuales. La medida entrará en vigencia el 1 de junio de 2026 y reaviva el debate sobre la sostenibilidad del modelo de negocios de las herramientas de inteligencia artificial.