La agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incluyó (el 14 de julio) en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) la vulnerabilidad identificada como CVE-2026-56164, que afecta a Microsoft SharePoint Server.
Este hecho que alerta la ciberseguridad de miles de organizaciones alrededor del mundo ya que esta vulnerabilidad crítica podría convertirse en una nueva puerta de entrada para campañas de espionaje, robo de información y ransomware.
Cabe resaltar que la publicación de una vulnerabilidad crítica no siempre implica una emergencia, pero cuando organismos oficiales de ciberseguridad como la CISA confirman que ya está siendo explotada por atacantes reales, el escenario cambia por completo.
Pero para ahondar un poco más a este asunto que suena muy técnico, abundemos en qué es el Catálogo KEV de CISA…El Known Exploited Vulnerabilities Catalog (KEV) es una lista oficial elaborada por CISA que reúne únicamente vulnerabilidades para las que ya existe evidencia de explotación en el mundo real. A diferencia de otras bases de datos que incluyen miles de fallas potenciales, el KEV sólo incorpora aquellas que representan una amenaza inmediata para organizaciones públicas y privadas. Es decir que existe evidencia de que la vulnerabilidad CVE-2026-56164 en Microsoft SharePoint está siendo explotada activamente
CVE-2026-56164 se caracteriza por la ausencia de autenticación para una función crítica, lo que permite a un atacante no autenticado escalar privilegios de forma remota. La explotación exitosa de esta debilidad podría comprometer tanto la confidencialidad como la integridad del servidor SharePoint, lo que representa un riesgo significativo para las organizaciones que utilizan este software.
Investigadores de empresas especializadas como Eye Security, Palo Alto Networks Unit 42 y CrowdStrike han documentado intentos reales de explotación y advirtieron que los atacantes están aprovechando la vulnerabilidad para obtener acceso inicial a redes corporativas y mantener persistencia dentro de los sistemas comprometidos. Microsoft también confirmó la existencia de ataques activos y publicó actualizaciones de seguridad para mitigar el riesgo.
El problema afecta exclusivamente a Microsoft SharePoint Server instalado en los propios centros de datos de las organizaciones (On-Premises). En contraste, SharePoint Online, la versión alojada en la nube que forma parte de Microsoft 365, no se encuentra afectada por esta vulnerabilidad. Esta diferencia es relevante, ya que muchas empresas continúan utilizando servidores locales para mantener un mayor control sobre su información o cumplir requisitos regulatorios.
Pero ¿por qué preocupa tanto esta falla? Porque permite que un atacante ejecute código malicioso de forma remota, sin necesidad de tener acceso físico al servidor. En otras palabras, un ciberdelincuente podría tomar el control del sistema desde Internet y utilizarlo como puerta de entrada hacia el resto de la infraestructura tecnológica de una organización.
Microsoft SharePoint: qué es y por qué se ha convertido en un objetivo de los ciberataques
Microsoft SharePoint es una plataforma de colaboración empresarial utilizada para almacenar documentos, compartir archivos, crear intranets corporativas y administrar información entre los diferentes departamentos de una organización. En muchas empresas funciona como una enorme biblioteca digital donde empleados autorizados consultan contratos, expedientes, políticas internas, proyectos y documentos confidenciales.
Además, en muchas organizaciones, SharePoint no funciona de manera aislada, se encuentra integrado con servicios como Active Directory, Microsoft Teams, Exchange y OneDrive, por lo que un servidor comprometido puede facilitar el acceso a otros sistemas críticos de la infraestructura corporativa.
Imaginemos una empresa donde Recursos Humanos guarda expedientes del personal, el departamento jurídico almacena contratos con clientes y Finanzas conserva reportes contables. Si un ciberdelincuente logra comprometer el servidor SharePoint, podría acceder a toda esa información desde un único punto.
Precisamente por concentrar información crítica, SharePoint se ha convertido desde hace varios años en uno de los objetivos favoritos de grupos especializados en espionaje, robo de información y ataques de ransomware.
Cómo funciona la vulnerabilidad CVE-2026-56164 en Microsoft SharePoint
La falla corresponde a una vulnerabilidad de Ejecución Remota de Código (Remote Code Execution o RCE). Este tipo de vulnerabilidades permite que un atacante ejecute programas maliciosos directamente sobre un servidor vulnerable sin necesidad de encontrarse físicamente frente al equipo. Dicho de forma sencilla, es como si alguien consiguiera una copia de las llaves maestras de un edificio y pudiera entrar a cualquier oficina sin autorización.
Una vez obtenido ese acceso, el atacante puede instalar herramientas para mantener el control del servidor, crear usuarios con privilegios administrativos, extraer documentos confidenciales o utilizar el equipo comprometido como punto de partida para atacar otros sistemas de la misma organización.
Los especialistas consideran que las vulnerabilidades RCE son de las más peligrosas dentro del mundo de la ciberseguridad porque, en muchos casos, permiten comprometer completamente un servidor con muy poca interacción por parte de la víctima.
Diversas investigaciones publicadas por Eye Security, Palo Alto Networks Unit 42 y Microsoft Security Response Center indican que los atacantes están utilizando esta vulnerabilidad como parte de una cadena de explotación que también permite elevar privilegios dentro del servidor comprometido. En la práctica, esto significa que un ciberdelincuente puede pasar rápidamente de ejecutar código malicioso a obtener permisos administrativos, aumentando significativamente el control sobre el sistema y facilitando el robo de información o la instalación de malware adicional.
Aunque la falla técnica puede parecer compleja, la forma en que suele desarrollarse un ataque resulta mucho más fácil de entender si se observa paso a paso:
- En primer lugar, los ciberdelincuentes utilizan herramientas automatizadas para localizar servidores Microsoft SharePoint expuestos a Internet que aún no han instalado las actualizaciones de seguridad.
- Una vez identificado un servidor vulnerable, aprovechan la falla para ejecutar código malicioso de forma remota sin necesidad de contar con credenciales válidas.
- A partir de ese momento comienza una segunda etapa mucho más peligrosa. Los atacantes suelen instalar una web shell, un pequeño programa oculto que funciona como una puerta trasera permanente y les permite regresar al servidor cuando lo deseen, incluso si la vulnerabilidad original ya fue corregida.
- Con ese acceso persistente, el siguiente objetivo consiste en obtener credenciales de usuarios con privilegios elevados, crear nuevas cuentas administrativas o modificar la configuración de seguridad del servidor. Esto les permite ampliar progresivamente el control sobre la infraestructura tecnológica de la organización.
- Posteriormente, los atacantes realizan lo que en ciberseguridad se conoce como movimiento lateral (lateral movement): utilizan el servidor SharePoint comprometido como punto de apoyo para acceder a otros sistemas conectados a la misma red, como controladores de dominio, servidores de bases de datos, plataformas de correo electrónico o sistemas de respaldo.
En la fase de movimiento lateral, el incidente deja de afectar únicamente a SharePoint y puede convertirse en una brecha de seguridad de gran escala.
Dependiendo de los objetivos del grupo criminal, el ataque puede culminar con el robo masivo de información confidencial, la instalación de ransomware que cifre los sistemas de la organización o incluso actividades de espionaje dirigidas a obtener propiedad intelectual, información financiera o datos personales de clientes y empleados.
Diversos análisis publicados por Microsoft, Eye Security y Palo Alto Networks Unit 42 muestran que este tipo de cadenas de explotación son habituales en los ataques modernos, donde los ciberdelincuentes combinan varias técnicas para mantener el acceso durante el mayor tiempo posible y maximizar el impacto antes de ser detectados.
Principales riesgos de la vulnerabilidad CVE-2026-56164 para las organizaciones
Si un servidor SharePoint vulnerable es comprometido, las consecuencias pueden ir mucho más allá del robo de algunos documentos.
Entre los principales riesgos identificados por Microsoft y diversos investigadores de seguridad se encuentran:
- Obtener acceso remoto al servidor.
- Escalar privilegios hasta convertirse en administrador del sistema.
- Robar información confidencial.
- Instalar puertas traseras (backdoors) para mantener el acceso incluso después de reiniciar el servidor.
- Desplegar ransomware.
- Utilizar el servidor comprometido para desplazarse hacia otros equipos dentro de la red corporativa.
Este último escenario resulta especialmente preocupante. Imaginemos una empresa que utiliza SharePoint para almacenar contratos, expedientes de empleados y documentos financieros. Un atacante detecta que el servidor permanece expuesto a Internet y todavía no ha recibido la actualización de seguridad.
En pocos minutos consigue ejecutar código malicioso, instala una puerta trasera que le permite volver a ingresar cuando lo desee y comienza a extraer credenciales administrativas. Desde ahí puede desplazarse hacia el controlador de dominio, acceder a otros servidores y, finalmente, desplegar ransomware sobre toda la red.
¿Qué versiones de Microsoft SharePoint son vulnerables?
Las organizaciones más expuestas son aquellas que utilizan:
- Microsoft SharePoint Server 2016.
- Microsoft SharePoint Server 2019.
- Microsoft SharePoint Server Subscription Edition.
- Servidores SharePoint publicados directamente en Internet.
Los sectores gubernamental, financiero, educativo, manufacturero y de salud representan objetivos especialmente atractivos debido al volumen de información sensible que administran diariamente.
Sin embargo, el tamaño de la organización no garantiza protección. Una pequeña empresa también puede resultar afectada si mantiene un servidor vulnerable conectado a Internet y no aplica las actualizaciones de seguridad oportunamente.
Cómo proteger Microsoft SharePoint frente a la vulnerabilidad CVE-2026-56164
Ante una vulnerabilidad que ya está siendo explotada activamente, el tiempo de respuesta es un factor crítico. Los especialistas recomiendan actuar de inmediato siguiendo una estrategia de contención y verificación.
Entre las principales acciones destacan:
- Aplicar las actualizaciones de seguridad es el primer paso, pero no siempre garantiza que un servidor ya comprometido quede completamente protegido. Si la vulnerabilidad fue explotada antes de instalar el parche, los atacantes podrían haber dejado mecanismos para mantener el acceso al sistema.
- Aislar el servidor comprometido: Si existen indicios de actividad maliciosa, como conexiones inusuales, creación de cuentas desconocidas o procesos sospechosos, lo más recomendable es aislar temporalmente el servidor de la red corporativa. Esto ayuda a impedir que un atacante continúe desplazándose hacia otros equipos o exfiltrando información mientras se lleva a cabo la investigación. El aislamiento debe realizarse de forma controlada para no afectar innecesariamente la operación de la organización.
- No apagar el servidor de inmediato: Aunque pueda parecer una reacción lógica, apagar un servidor comprometido puede dificultar la investigación. Gran parte de la información útil para determinar cómo ocurrió el ataque (como procesos activos, conexiones de red o datos almacenados en memoria) desaparece al reiniciar el sistema. Por ello, los especialistas en análisis forense recomiendan preservar el estado del servidor antes de realizar cambios importantes, siempre que la situación operacional lo permita.
- Buscar mecanismos de persistencia: Uno de los principales objetivos de los atacantes consiste en garantizar que podrán volver a ingresar al servidor incluso después de que la vulnerabilidad haya sido corregida. Para conseguirlo suelen instalar web shells, crear tareas programadas, registrar nuevos servicios, modificar configuraciones del servidor web o agregar cuentas administrativas ocultas. Por esta razón, además de instalar el parche, es importante revisar cuidadosamente que no existan estos mecanismos de persistencia.
- Revisar Active Directory y las cuentas privilegiadas: Si el servidor SharePoint forma parte del dominio corporativo, resulta recomendable verificar que no se hayan creado nuevas cuentas con privilegios elevados ni modificado permisos de usuarios existentes.
- Cambiar credenciales: Cuando existe la posibilidad de que un atacante haya obtenido acceso al servidor, es prudente asumir que algunas credenciales pudieron verse comprometidas. En estos casos, Microsoft recomienda cambiar las contraseñas de las cuentas administrativas, renovar certificados digitales.
- Reforzar la autenticación multifactor: Aunque la autenticación multifactor (MFA) no impide la explotación de esta vulnerabilidad, sí representa una barrera adicional si los atacantes consiguen robar credenciales durante el incidente.
- Fortalecer la segmentación de la red: Implementar una adecuada segmentación de la red, limitar los privilegios de los servidores y restringir las comunicaciones únicamente a los servicios necesarios reduce las posibilidades de que un atacante utilice SharePoint como punto de partida para comprometer otros sistemas críticos de la organización.
- Revisar los Indicadores de Compromiso (IoC), es decir, evidencias técnicas que permiten detectar si un servidor ya fue atacado.
- Analizar los registros de auditoría para identificar actividades inusuales.
- Ejecutar un análisis completo mediante soluciones EDR o XDR: Un EDR (Endpoint Detection and Response) es una plataforma diseñada para detectar comportamientos sospechosos en computadoras y servidores, además de responder automáticamente ante ataques. Por su parte, XDR (Extended Detection and Response) amplía esa capacidad integrando información proveniente de servidores, equipos, correo electrónico, identidad digital y red, ofreciendo una visión mucho más completa del incidente.
- Mantener monitoreo continuo mediante plataformas SIEM (Security Information and Event Management) o un SOC (Security Operations Center): Un SIEM recopila y correlaciona registros provenientes de múltiples sistemas para detectar anomalías, mientras que un SOC es el equipo especializado encargado de supervisar permanentemente la infraestructura tecnológica y responder ante incidentes de seguridad.
Lecciones para fortalecer la ciberseguridad frente a vulnerabilidades críticas
Dado que esta vulnerabilidad ya está siendo explotada activamente, los especialistas recomiendan no asumir que la simple instalación del parche elimina por completo el riesgo. Si un servidor permaneció expuesto antes de aplicar las actualizaciones, es indispensable realizar una revisión exhaustiva para confirmar que no existan indicadores de compromiso ni mecanismos de persistencia dejados por los atacantes.
En otras palabras, parchar un servidor evita nuevas explotaciones, pero no elimina automáticamente las consecuencias de una intrusión que ya pudo haber ocurrido. Este incidente pone de relieve la importancia de mantener una estrategia integral de gestión de vulnerabilidades, monitoreo continuo, detección temprana y respuesta ante incidentes.
Para las organizaciones, la gestión de vulnerabilidades ya no consiste únicamente en aplicar actualizaciones cuando haya tiempo; hoy representa un proceso continuo que puede marcar la diferencia entre una operación segura y una interrupción capaz de comprometer información crítica, detener servicios esenciales y generar importantes pérdidas económicas y reputacionales.



