Más de 400 sistemas—incluidas agencias federales de EE. UU.—han sido cifrados desde el 18 de julio de 2025, subrayando la urgencia de aplicar parches críticos y reforzar la ciberdefensa
Cronología del ataque
El 18 de julio de 2025 investigadores de Microsoft detectaron que el grupo Storm-2603 empezó a explotar una cadena de vulnerabilidades (CVE-2025-49706 y CVE-2025-49704) en instancias on-premise de SharePoint. La brecha permitió la ejecución remota de código y el robo de claves máquina; pocos días después, la cepa Warlock cifró archivos en más de 400 servidores corporativos y gubernamentales en todo Estados Unidos.
Anatomía de la vulnerabilidad
- Suplantación de token de acceso: los atacantes simulan ser un usuario privilegiado.
- Ejecución remota (RCE): cargan un web-shell persistente.
- Ransomware en dos fases: primero exfiltran datos; luego lanzan Warlock con doble extorsión.
Impacto sectorial
- Agencias federales y organismos estatales: interrupciones en correo interno y portales de trámites.
- Empresas de manufactura y salud: producción retrasada hasta 48 h por cifrado de archivos CAD e historiales clínicos.
- Escalada geopolítica: analistas atribuyen la campaña a actores con posible apoyo estatal, elevando la tensión entre Washington y Pekín.
Recomendaciones inmediatas para CISOs y equipos TI
| Prioridad | Acción | Detalle técnico |
|---|---|---|
| Crítica | Aplicar actualizaciones de julio 2025 | Instalar parches de seguridad para SharePoint Server 2019 y 2016. |
| Alta | Rotar claves máquina | Evita acceso persistente aun después del parche. |
| Alta | Segregar servicios IIS | Limita el movimiento lateral del atacante. |
| Media | Implementar MFA estricta | Reduce el riesgo de credenciales comprometidas. |
| Media | Revisar copias offline | Asegura que los respaldos no estén cifrados. |
El futuro inmediato: IA ofensiva y recortes presupuestales
Mientras Warlock propaga su campaña, otras bandas ya utilizan chatbots de IA para automatizar negociaciones y presionar a las víctimas las 24 h. De forma paralela, la propuesta presupuestal federal 2026 planea recortar casi un tercio del personal de la agencia de ciberseguridad estadounidense, lo que podría dificultar la respuesta coordinada ante incidentes de gran escala.
¿Tu organización utiliza SharePoint o depende de servidores Windows?
En www.sitesupremacy.com auditamos tu infraestructura, aplicamos parches críticos y diseñamos planes de contingencia ante ransomware.
Protege hoy tu operación y evita costosos tiempos de inactividad: contáctanos en www.sitesupremacy.com para una consultoría express.