Redazione RHC : 27 octubre 2025 11:12
Hackers del gobierno vulneraron una planta de fabricación de componentes para armas nucleares en Estados Unidos explotando vulnerabilidades de Microsoft SharePoint. El incidente afectó al Campus de Seguridad Nacional de Kansas City (KCNSC) , perteneciente a la Administración Nacional de Seguridad Nuclear (NNSA) del Departamento de Energía de EE. UU.
Según algunas fuentes , el ataque ocurrió en agosto e involucró la explotación de errores sin parchear identificados como CVE-2025-53770 y CVE-2025-49704, que permiten la ejecución remota de código en el servidor SharePoint.
La instalación, operada por Honeywell Federal Manufacturing & Technologies, produce la mayoría de los componentes mecánicos y electrónicos no nucleares para el arsenal nuclear estadounidense. Alberga departamentos responsables de metalografía, química analítica, pruebas ambientales y modelado.
Aproximadamente el 80 por ciento de todos los componentes de municiones nucleares de Estados Unidos se producen aquí, lo que lo convierte en uno de los puntos más sensibles de la infraestructura de defensa.
Microsoft publicó actualizaciones de seguridad el 19 de julio, pero los atacantes comenzaron a explotar las vulnerabilidades descubiertas el 18. El Departamento de Energía confirmó los ataques, pero afirmó que los daños se limitaron al migrar la mayoría de los sistemas a la plataforma en la nube Microsoft 365. Las tareas de recuperación se llevaron a cabo con la ayuda de especialistas de la NSA, que llegaron a principios de agosto.
Los expertos discrepan sobre el origen de los atacantes. Microsoft atribuye la oleada de exploits de SharePoint a los grupos chinos Linen Typhoon, Violet Typhoon y Storm-2603 , que, según la compañía, se preparaban para distribuir el malware Warlock .
Resecurity, que monitoreó la campaña, cree que lo más probable es que actores chinos estén involucrados, pero también considera la posibilidad de que grupos de otros países hayan obtenido acceso a los exploits a través de intercambios en la darknet.
Según los expertos, las vulnerabilidades podrían haber sido replicadas después de ser demostradas en Pwn2Own en Berlín por investigadores de Viettel Cyber Security, acelerando la propagación de exploits en la darknet.
Los análisis y ataques iniciales se originaron en servidores de Taiwán, Vietnam, Corea del Sur y Hong Kong , una ubicación geográfica típica de los grupos APT chinos que buscan ocultar su origen. Resecurity enfatiza que la campaña se basó en el abuso del Programa de Protección Activa de Microsoft (MAPP), que proporciona a los socios acceso anticipado a los datos sobre vulnerabilidades. Sin embargo, tras la publicación de los detalles técnicos, otros atacantes comenzaron a usar los exploits.
Aunque el ataque tuvo como objetivo la infraestructura de TI de la empresa, los expertos en seguridad industrial destacan el riesgo de una posible penetración en los sistemas operativos (OT) que controlan las líneas de montaje robóticas, los controladores lógicos programables (PLC) y los sistemas SCADA responsables del suministro de energía y la monitorización ambiental. Incluso con el aislamiento físico del circuito de producción de la red corporativa, no se puede descartar el riesgo de una interrupción completa del canal.
El incidente ilustra cómo las medidas de ciberseguridad inadecuadas en entornos operativos representan una amenaza para los recursos estratégicos. Si bien las agencias federales ya están implementando una arquitectura de «confianza cero» para la infraestructura de TI, un sistema similar para las redes de producción aún está en desarrollo. El Departamento de Defensa está desarrollando su propio conjunto de controles para entornos de TO, que se espera se integre con el estándar federal en el futuro.
Incluso si los atacantes solo tuvieran acceso a datos no clasificados, dicha información sería extremadamente valiosa. Las especificaciones técnicas, las tolerancias y los parámetros de ensamblaje pueden arrojar luz sobre la precisión de las armas estadounidenses, la estructura de las cadenas de suministro o los métodos de control de calidad . Esto permite a los adversarios evaluar indirectamente la fiabilidad y las capacidades tecnológicas de los programas de defensa estadounidenses.
Posteriormente, el Departamento de Energía confirmó oficialmente que se había explotado una vulnerabilidad de SharePoint contra la NNSA, pero que el daño fue mínimo y que no se comprometió información clasificada. No obstante, el incidente puso de relieve la vulnerabilidad de la industria de defensa incluso ante ataques dirigidos exclusivamente a sistemas corporativos.
RedazioneEl 27 de octubre se celebró en el Ministerio de Asuntos Exteriores en Beijing el Foro del Salón Azul sobre el tema «Mejorar la gobernanza global y construir una comunidad con un futuro compartido p...
Hackers del gobierno vulneraron una planta de fabricación de componentes para armas nucleares en Estados Unidos explotando vulnerabilidades de Microsoft SharePoint. El incidente afectó al Campus de ...
En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
