🚨 Panorama Crítico: ciberataques a SharePoint + vulnerabilidades en ICS y consejos para sysadmins

Una ola reciente de ciberamenazas ha cruzado la línea entre TI empresarial y OT industrial. Desde vulnerabilidades zero-day en SharePoint on‑prem hasta múltiples fallas en sistemas de control industrial, la seguridad está en jaque. Este artículo ofrece un análisis profundo, referencias actualizadas y acciones urgentes para sysadmins responsables de infraestructuras críticas.

1. ⚠️ SharePoint bajo fuego: ToolShell y campañas globales

🔍 Lo que pasó

Microsoft confirmó explotación activa de vulnerabilidades zero-day en SharePoint on‑prem (ToolShell, por CVE‑2025‑53770 y CVE‑2025‑53771), utilizadas por grupos como Linen Typhoon, Violet Typhoon y Storm‑2603.

Estas intrusiones comenzaron alrededor del 7 de julio de 2025, y para el 23 de julio ya se había confirmado el compromiso de más de 400 servidores en al menos 148 organizaciones, incluyendo la Administración Nacional de Seguridad Nuclear de EE.UU. (NNSA).

🧩 Riesgos clave

• Exfiltración de MachineKeys, acceso persistente incluso tras aplicar la primera ronda de parches.
• Despliegue de ransomware Warlock, con intención de extorsión o sabotaje.
• Parches iniciales insuficientes: debió usarse una segunda actualización para contener la amenaza.

2. 🏭 Vulnerabilidades industriales: ICS y OT en riesgo

📌 Avisos emergentes de CISA

En julio 2025, CISA publicó seis alertas críticas (ICSA‑25‑196‑01 a ‑02 y ‑03, ICSA‑25‑037‑02, ICSA‑25‑140‑08, ICSA‑25‑070‑01), afectando a productos de Hitachi Energy, ABB, LITEON y Schneider Electric.

Estas fallas potencialmente permiten ejecución remota, bypass de autenticación y acceso sin interacción del usuario, en entornos de energía, automatización y cargadores EV.

Además, el 24 de julio de 2025, CISA amplió la lista con otras seis alertas (ICSA‑25‑205‑01 a ‑04 y un ICSMA), afectando a Mitsubishi Electric, Honeywell, MODICON/ICONICS, cámaras LG y dispositivos médicos Medtronic.

🧠 Panorama completo

Desde abril hasta julio, CISA ha lanzado entre 8 y 9 avisos mensuales en promedio (ICSA‑25‑105, 25‑175, 25‑168…), cubriendo productos de Siemens, Delta Electronics, ABB, Mitsubishi y otros.

Los riesgos van desde ejecución remota y bypass de autenticación hasta inyección de comandos y control total de equipos sin parche disponible.

3. ✅ Acciones urgentes para sysadmins

🛡️ SharePoint on‑prem

• Parchar inmediatamente todos los servidores afectados con la última versión de julio 2025.
• Habilitar AMSI y Microsoft Defender (o equivalente) en modo completo.
• Rotar claves MachineKey, reiniciar IIS y auditar logs por actividad inusual.
• Asumir que hay compromiso previo, y considerar restauración desde backups seguros si hay sospecha de persistencia.

🧰 Entornos ICS/OT

• Inventariar todos los activos mencionados en los avisos ICSA‑25‑196, ‑205, ‑175.
• Aplicar firmware actualizado o bloqueos de red, según lo recomiende cada fabricante.
• Segmentar redes OT de TI, reforzar autenticación, auditar acceso y usar VPN seguras.
• Reemplazar hardware obsoleto si no hay parche disponible (ej. SENTRON PAC1260).

🔄 Buenas prácticas

• Consultar catálogo KEV (Known Exploited Vulnerabilities) de CISA regularmente.
• Implementar defensa en profundidad: segmentación, respaldo offline, control de credenciales, autenticación hardware 2FA.
• Entrenar al equipo en respuestas a incidentes centradas en infraestructura crítica.
• Revisar contratos y exposiciones ante amenazas emergentes (ej. grupos como Storm‑2603 o nuevas regulaciones legales).

4. 💡 Conclusión general: tecnológicamente serio, narrado con chispa

Desde phishing malicioso hasta fallas de firmware invisibles, mayo a julio de 2025 ha demostrado que la seguridad TI y OT están entrelazadas. Mientras SharePoint on‑prem sigue siendo blanco de acceso persistente y ransomware, los entornos ICS y OT están revelando vulnerabilidades profundas durante su integración digital con TI.

Para Sentra IT, esto es terreno propio: una oportunidad para demostrar liderazgo técnico mediante monitoreo 24/7, alertas automáticas, auditoría constante y parches inmediatos. Mantener sistemas críticos actualizados y segmentados no es solo una obligación, es un diferenciador profesional.