CVE-2026-45659 es una vulnerabilidad crítica de ejecución remota de código (RCE) en Microsoft SharePoint Server, que afecta a SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Enterprise Server 2016. Con una puntuación CVSS de 8.8, la falla surge de la deserialización de datos no confiables: un atacante autenticado que solo cuenta con permisos básicos de 'Site Member' puede enviar una carga serializada manipulada a un servidor SharePoint vulnerable y lograr que ejecute código arbitrario en el contexto del propio servicio de SharePoint, sin necesitar credenciales de administrador. Microsoft corrigió la vulnerabilidad en mayo de 2026, pero a principios de julio, CISA añadió CVE-2026-45659 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) tras confirmar explotación activa en el mundo real, dando a las agencias civiles federales de EE. UU. hasta el 4 de julio de 2026 para remediarla. Esto importa mucho más allá de las redes gubernamentales. SharePoint es el centro de la gestión documental, las intranets y la automatización de flujos de trabajo de miles de empresas, y los servidores SharePoint locales suelen estar expuestos a internet por diseño, para que empleados, socios y oficinas remotas puedan acceder a ellos. Una falla de ejecución remota de código en esa capa no solo expone una aplicación: puede darle a un atacante un punto de apoyo profundo dentro de la red corporativa, desde el cual puede robar credenciales, moverse lateralmente hacia servidores de archivos y controladores de dominio, y preparar un compromiso mucho mayor. Por eso los equipos de seguridad necesitan el tipo de monitoreo continuo que ofrece un programa gestionado de ciberseguridad, en lugar de depender solo de la aplicación de parches, ya que un parche protege únicamente después de haberse instalado en todos los lugares donde corre el software.
La verdadera historia detrás de CVE-2026-45659 no es solo la vulnerabilidad en sí, sino la brecha entre el momento en que un parche está disponible y el momento en que realmente se aplica en toda una empresa distribuida. Microsoft publicó una corrección en mayo de 2026, pero para julio la explotación activa ya era lo bastante extendida como para que CISA la escalara a la lista KEV, y los investigadores han vinculado un grupo de ataques a Storm-2603, un actor de amenazas conocido por explotar precisamente este tipo de vulnerabilidades en servidores locales para desplegar el ransomware Warlock. Esa ventana de dos meses es donde ocurren la mayoría de las brechas: las organizaciones multinacionales suelen operar SharePoint en varios centros de datos regionales o proveedores de hosting, cada uno con su propio calendario de gestión de cambios, requisitos de pruebas y equipo de TI, por lo que un solo parche puede tardar semanas en llegar a todas las instancias. Las plataformas locales como SharePoint también suelen quedar fuera del alcance de las herramientas de seguridad nativas de la nube, dejando una brecha de visibilidad que los antivirus tradicionales y los firewalls perimetrales nunca fueron diseñados para cerrar. Los grupos de ransomware lo saben y han industrializado el proceso de escanear internet en busca de instancias sin parchar y expuestas apenas días después de publicarse un CVE, convirtiendo lo que antes era una ventana de meses de relativa seguridad en una de apenas horas. Para las empresas que operan en América Latina, EE. UU. y Europa, esta brecha de parcheo se agrava por operaciones de TI fragmentadas en distintos países, inventarios de activos inconsistentes y equipos de TI que a menudo están repartidos entre redes, telefonía y seguridad al mismo tiempo, que es exactamente el problema que resuelve un proveedor centralizado de servicios gestionados de TI, al asumir la responsabilidad de la gestión de parches, el escaneo de vulnerabilidades y el endurecimiento de configuraciones en cada sede, en lugar de dejarlo en manos de que el equipo local de turno note el aviso.
Parchar no basta una vez que una vulnerabilidad ya ha sido explotada en el mundo real, por lo que las empresas necesitan detección activa como capa adicional. Primero, un Centro de Operaciones de Seguridad (SOC) gestionado ingiere registros de SharePoint, IIS y los servidores Windows subyacentes en una plataforma SIEM, construyendo una imagen en tiempo real del comportamiento normal frente al anómalo del servidor. Segundo, las reglas de detección identifican las huellas específicas de este ataque: un proceso de trabajo de SharePoint (w3wp.exe) que de forma inesperada genera shells de comandos o PowerShell, o una carga deserializada que aparece donde solo deberían llegar solicitudes web rutinarias. Tercero, los analistas vigilan el conjunto exacto de herramientas de post-explotación observado en ataques reales de CVE-2026-45659 —herramientas de administración remota y túneles como Velociraptor, Cloudflare Tunnels y Zoho Assist, o sesiones SSH iniciadas a través de Visual Studio Code—, ninguna de las cuales pertenece a un servidor SharePoint de producción, y cualquiera de ellas debería activar una contención inmediata. Cuarto, una vez confirmado un indicador, los analistas de Detección y Respuesta Gestionadas (MDR) aíslan el host afectado, detienen el proceso malicioso y rastrean el resto de la red en busca de movimiento lateral antes de que operadores de ransomware como Storm-2603 puedan escalar de un acceso inicial a un compromiso total del dominio. Este es el valor central de un servicio gestionado de SOC, SIEM y MDR: detectar el intento de explotación y el comportamiento posterior en las horas siguientes a un intento de brecha, no descubrirlo semanas después cuando la nota de ransomware aparece en cada pantalla.
El argumento financiero para cerrar esta brecha es directo. Un despliegue exitoso de ransomware tras explotar una falla como CVE-2026-45659 suele significar días o semanas de inactividad, el costo de la respuesta a incidentes y el análisis forense, una posible exposición regulatoria si se ven afectados datos de clientes o empleados, y un daño reputacional que dura más que la recuperación técnica. La gestión continua de vulnerabilidades y el monitoreo 24/7 convierten un riesgo abierto en un costo operativo predecible, y para sectores regulados —servicios financieros, salud, logística— demostrar un parcheo oportuno y una capacidad de detección documentada suele ser un requisito de cumplimiento, no solo una buena práctica. También existe una dimensión de cobertura que importa para cualquier organización presente en varios husos horarios: los actores de amenazas no esperan al horario laboral de un solo país, por lo que el monitoreo ininterrumpido en América Latina, EE. UU. y Europa cierra la brecha que inevitablemente deja un equipo interno con personal regional único. Las empresas que combinan una gestión proactiva de parches con detección gestionada suelen registrar tiempos de permanencia del atacante más cortos, menores costos por brecha y una recuperación más rápida cuando ocurre un incidente, lo que marca la diferencia entre un evento de seguridad contenido y una crisis que interrumpe el negocio. Esto también cambia la conversación con la junta directiva y con los clientes: poder mostrar una cadencia de parcheo documentada, un entorno monitoreado y un plan de respuesta a incidentes probado es cada vez más lo que distingue a los proveedores que ganan contratos empresariales de los que los pierden en un cuestionario de seguridad.
HIT Communications lleva más de 30 años construyendo y protegiendo infraestructura empresarial de telecomunicaciones y TI en América Latina, Estados Unidos y Europa, y vulnerabilidades como CVE-2026-45659 están justo en el terreno que operamos todos los días. Nuestra práctica de ciberseguridad combina un Centro de Operaciones de Seguridad 24/7, correlación de registros basada en SIEM y Detección y Respuesta Gestionadas, de modo que los intentos de explotación contra plataformas como SharePoint se detectan en tiempo real en lugar de descubrirse después de los hechos. Junto a esto, nuestro equipo de servicios gestionados de TI se encarga del trabajo poco vistoso pero esencial de la gestión de parches, el escaneo de vulnerabilidades y el endurecimiento de configuraciones en cada oficina y centro de datos, para que las correcciones críticas realmente se apliquen a tiempo en lugar de acumularse en una lista pendiente. Y como el ransomware sigue siendo el resultado más común de este tipo de explotación, nuestros servicios de respaldo y recuperación en la nube garantizan que, incluso si un atacante logra entrar, su organización cuente con una ruta limpia y aislada de regreso a la operación normal, sin pagar rescate. Para las empresas que no cuentan con la capacidad interna para rastrear cada CVE, parchar cada servidor y mantener un SOC las 24 horas, esta es la combinación que entregamos como un solo socio responsable, con equipos locales en cada país donde operamos, en lugar de un único centro de llamadas atendiendo a todas las regiones por igual.
CVE-2026-45659 es un recordatorio de que el software empresarial on-premise sigue siendo una puerta de entrada preferida para el ransomware, y de que la ventana entre la publicación de un parche y su explotación activa sigue reduciéndose: Microsoft publicó una corrección en mayo de 2026, y para julio, CISA ya confirmaba ataques reales vinculados a operadores de ransomware conocidos. Las empresas que tratan el parcheo como una tarea trimestral, o que carecen de detección en tiempo real en sus sistemas locales, son las que con mayor probabilidad descubrirán una brecha solo después de que el daño esté hecho. Las organizaciones que avanzan más rápido combinan una gestión disciplinada de vulnerabilidades con detección y respuesta gestionadas, de modo que incluso cuando un día cero se filtra, se detecta en horas, no en semanas. Si su organización necesita saber si su entorno de SharePoint —o cualquier otro sistema on-premise— está expuesto a amenazas activas como esta, contacte a HIT Communications para conversar sobre una evaluación de seguridad y un plan para cerrar la brecha.

Descubre cómo podemos transformar tu empresa. ¡Habla con uno de nuestros expertos ahora!
Contáctanos