Cuando el fabricante se equivoca en su propia evaluación de riesgo
En mayo de 2026, Microsoft publicó un parche de emergencia fuera de ciclo para SharePoint Server y calificó la explotación de la vulnerabilidad CVE-2026-45659 como «poco probable». El 2 de julio, la CISA desmintió ese optimismo al incorporar la vulnerabilidad a su catálogo KEV —Known Exploited Vulnerabilities—, confirmando ataques activos documentados en entornos reales.
Un score CVSS de 8.8 debería haber bastado para activar protocolos de respuesta inmediata. El problema técnico de fondo: un fallo de deserialización de datos no confiables (CWE-502) en el motor de procesamiento de SharePoint Server. En la práctica, el ataque aprovecha un endpoint que reconstruye objetos serializados en memoria sin validación adecuada. Un actor malicioso puede inyectar una cadena de gadgets .NET para ejecutar código arbitrario en el servidor, sin dejar rastros visibles desde el exterior.
Privilegios mínimos, impacto máximo
Lo que hace especialmente preocupante este vector para los equipos de sistemas es el bajo nivel de privilegio requerido. Una cuenta con derechos de «Site Member» —el nivel estándar de cualquier colaborador activo en la plataforma— es suficiente para lanzar el exploit. No se necesita una cuenta de administrador ni comprometer previamente el dominio Active Directory.
Las versiones afectadas cubren la mayor parte del parque SharePoint on-premises instalado en empresas: SharePoint Server 2016 Enterprise, SharePoint Server 2019 y SharePoint Server Subscription Edition. Los entornos SharePoint Online (Microsoft 365) no están expuestos. La vulnerabilidad apunta a instancias locales, que con frecuencia son el núcleo de los repositorios documentales, portales intranet y espacios colaborativos corporativos.
Tres días para las agencias federales, una señal para el resto
Aplicando su directiva BOD 26-04, la CISA impuso a las agencias federales estadounidenses un plazo de remediación de tres días, con fecha límite el 4 de julio de 2026 —un calendario que refleja la urgencia real de la amenaza—. En un entorno on-premises, un servidor SharePoint sin parchear representa un vector de movimiento lateral altamente efectivo para un atacante ya presente en la red interna, o que opera desde una cuenta de usuario comprometida.
Para las organizaciones latinoamericanas y españolas, no existe por ahora ninguna obligación regulatoria equivalente. Pero la lógica es la misma: la superficie de ataque interna es directamente proporcional al número de cuentas activas en SharePoint —es decir, potencialmente la totalidad del personal de la organización.
Qué deben hacer los equipos de TI ahora mismo
Tres acciones son prioritarias e inmediatas.
Primero, inventariar con precisión las instancias de SharePoint Server on-premises: los entornos parcialmente migrados a la nube o abandonados tras un proyecto de consolidación son puntos ciegos habituales que suelen pasarse por alto.
Segundo, aplicar el parche de Microsoft de mayo de 2026, disponible para cada una de las tres versiones afectadas.
Tercero, reforzar la monitorización de actividades anómalas en las instancias expuestas: solicitudes inusuales sobre los endpoints de procesamiento serializado, procesos hijos inesperados generados por los workers de IIS, y conexiones salientes no planificadas desde el servidor SharePoint.
Este episodio pone en evidencia una fragilidad estructural en la gestión de parches fuera de ciclo: cuando el propio fabricante subestima la probabilidad de explotación, los equipos de seguridad pierden su principal referencia y solo pueden apoyarse en el score de severidad bruto y en la criticidad del componente expuesto. Un CVSS de 8.8 sobre una infraestructura tan central en los sistemas de información internos merecía una respuesta inmediata —no una reevaluación forzada por ataques reales.

