atacan a la cámara de los comunes

Alerta Ciberseguridad: Atacan la Cámara de los Comunes de Canadá Explotando un Grave Fallo en Microsoft

La Cámara de los Comunes de Canadá fue víctima de un grave ciberataque que resultó en el robo de información sensible de sus empleados. El corazón de la democracia canadiense ha sido vulnerado.

El incidente, ocurrido a mediados de agosto de 2025, fue posible gracias a la explotación de una vulnerabilidad de día cero en productos Microsoft. Específicamente se trató de Microsoft SharePoint Server, según reportes de CBC News y expertos en seguridad .

Este evento no es un hecho aislado; es parte de una tendencia creciente de ataques sofisticados contra instituciones gubernamentales a nivel global.

atacan a la cámara de los comunes

¿Cómo Ocurrió el Ataque a la Cámara de los Comunes? La Explotación de una Vulnerabilidad Crítica

De acuerdo con un correo interno obtenido por CBC News, el ataque se ejecutó el pasado viernes 15 de agosto. Los atacantes, denominados «agentes de amenaza» (threat actors), aprovecharon una falla crítica en Microsoft SharePoint. Gracias a ella obtuvieron acceso no autorizado a una base de datos interna. Esta base de datos era utilizada para gestionar y administrar los equipos informáticos y dispositivos móviles de la Cámara de los Comunes.

La vulnerabilidad explotada, identificada como CVE-2025-53770, es un bypass del parche para otra falla previa (CVE-2025-49704). Esta permite la ejecución remota de código (RCE). Esto significa que un atacante puede tomar el control total de un servidor SharePoint vulnerable desde internet sin necesidad de credenciales. Microsoft le había asignado una puntuación CVSS de 9.8 (sobre 10), calificándola como de gravedad crítica.

¿Qué Información se Robó en el Ataque?

El acceso a la base de datos de gestión de dispositivos permitió a los ciberdelincuentes exfiltrar un conjunto de datos sensibles de empleados y miembros del parlamento. La información comprometida incluye:

  • Nombres completos de empleados y contratistas.
  • Direcciones de correo electrónico laborales.
  • Puestos de trabajo y títulos profesionales.
  • Ubicaciones físicas de las oficinas.
  • Información detallada sobre los dispositivos informáticos y móviles gestionados por la Cámara.

Aunque no se robaron contraseñas directamente, esta información es un insumo invaluable para ataques de ingeniería social y phishing altamente dirigido. Los actores de amenazas pueden utilizar estos datos para crear correos electrónicos de suplantación de identidad (phishing) extremadamente convincentes. Pueden dirigir estos ataques a personas específicas dentro de la estructura gubernamental.

Atribución: ¿Quién está Detrás del Ciberataque a la Cámara de los Comunes?

Hasta la fecha, no se ha atribulado oficialmente el ataque a ningún grupo específico. La Comunications Security Establishment (CSE), la agencia de ciberseguridad de Canadá, está apoyando la investigación pero se ha negado a señalar a un responsable, destacando que la atribución de ciberataques es compleja y requiere tiempo.

Sin embargo, algunos expertos especulan que apunta a grupos de amenaza persistentes avanzadas (APTs) vinculados a estados nacionales. Algunos analistas, como los de PacketLabs, sugieren que las tácticas técnicas coinciden con las del grupo Salt Typhoon (también conocido como Linen Typhoon). Este es un actor de amenaza asociado con China que tiene un historial de apuntar a organizaciones gubernamentales y de defensa en Norteamérica para el robo de propiedad intelectual y espionaje.

Un Patrón Preocupante: Microsoft en el Punto de Mira

Este incidente no es una excepción. Se enmarca en una oleada de ataques que han aprovechado vulnerabilidades críticas en productos Microsoft. Esto ha ocurrido especialmente con SharePoint y Exchange on-premises, durante 2025.

  • ToolShell. La cadena de explotación que involucra a CVE-2025-53770 y otras vulnerabilidades ha sido bautizada como «ToolShell» por la comunidad de seguridad. Los atacantes la usan para subir webshells maliciosos (como spinstall0.aspx) a los servidores vulnerables. Esto les otorga un control persistente y remoto.
  • Ransomware. Lo más grave es que grupos de ransomware, como Warlock, también han comenzado a explotar estas mismas vulnerabilidades. Microsoft ha observado al actor chino Storm-2603 usando ToolShell para desplegar ransomware en entornos comprometidos.

Este patrón demuestra que una vez que se divulga una vulnerabilidad crítica, es rápidamente adoptada por cibercriminales con motivaciones económicas, ampliando enormemente la superficie de ataque.

Consecuencias y Medidas de Protección Recomendadas

El impacto inmediato es el riesgo de phishing e impersonación para todos los empleados afectados. La Cámara de los Comunes ya ha alertado a su personal para que extreme la vigilancia ante correos, mensajes o llamadas sospechosas que utilicen su información personal

Para las organizaciones, las lecciones son claras:

  1. Parchear Inmediatamente. Aplicar urgentemente las actualizaciones de seguridad proporcionadas por Microsoft para todas las versiones soportadas de SharePoint Server (2016, 2019, Subscription Edition).
  2. Rotar Claves y Reiniciar. Si se ha aplicado un parche, es crítico rotar las claves maestras de ASP.NET y reiniciar el servidor IIS. Esto sirve para eliminar cualquier persistencia que los atacantes hayan podido instalar.
  3. Segmentar y Monitorizar. Desconectar servidores SharePoint de internet si es posible, o protegerlos detrás de gateways de autenticación robustos. Implementar soluciones EDR (Endpoint Detection and Response) y monitorizar el tráfico de red en busca de indicadores de compromiso (IOCs).

Conclusión: Un Recordatorio para la Seguridad Nacional

El ciberataque a la Cámara de los Comunes de Canadá es un crudo recordatorio de que las instituciones democráticas son objetivos prioritarios en el panorama de amenazas actual. La explotación de vulnerabilidades en software omnipresente, como Microsoft SharePoint, representa un riesgo sistémico para la seguridad nacional y la economía.

La hibridación de amenazas—donde actores estatales y criminales colaboran o utilizan las mismas herramientas— hace que la defensa sea más compleja que nunca. La pronta aplicación de parches, la adopción de una mentalidad de «confianza cero» (Zero Trust) y la concienciación continua son no solo mejores prácticas, sino imperativos de seguridad nacional.

¿Tu organización utiliza SharePoint on-premises? Comparte este artículo para crear conciencia y revisa de inmediato si tus sistemas están parcheados contra estas vulnerabilidades críticas. La resiliencia cibernética es una responsabilidad compartida.

Le mejor recomendación es sustituir las herramientas comerciales por software libre, siempre que sea posible. Con esto ganas en seguridad, soberanía de tu información y ahorras mucho dinero. Contáctanos para evaluar tus necesidades y posibilidades de migración a herramientas abiertas.