Hackers chinos acceden a la producción de armas nucleares de EE. UU. — gracias, SharePoin

Los hackers gubernamentales infiltraron una planta que fabrica componentes para armas nucleares de Estados Unidos, aprovechando vulnerabilidades en Microsoft SharePoint. El incidente afectó al Centro Nacional de Seguridad de Kansas City (KCNSC), que forma parte de la Administración Nacional de Seguridad Nuclear (NNSA) del Departamento de Energía de Estados Unidos. Según fuentes, el ataque ocurrió en agosto y estuvo relacionado con la explotación de errores no corregidos CVE-2025-53770 y CVE-2025-49704, que permiten ejecutar código de forma remota en el servidor SharePoint.

La planta es gestionada por Honeywell Federal Manufacturing & Technologies y produce la mayor parte de los componentes mecánicos y electrónicos no nucleares del arsenal nuclear estadounidense. En sus instalaciones operan unidades encargadas de metalografía, química analítica, ensayos ambientales y modelado. Aproximadamente el 80 % de todas las piezas para los proyectiles nucleares de Estados Unidos se fabrican aquí, lo que convierte al centro en uno de los puntos más sensibles de la infraestructura de defensa.

Microsoft publicó actualizaciones de seguridad el 19 de julio; sin embargo, ya el día 18 los atacantes comenzaron a explotar las vulnerabilidades encontradas. El Departamento de Energía confirmó la existencia de los ataques, pero declaró que el daño fue limitado gracias a la migración de la mayoría de los sistemas a la plataforma en la nube Microsoft 365. Los trabajos de recuperación se llevaron a cabo con la participación de especialistas de la Agencia de Seguridad Nacional (NSA), que llegaron a principios de agosto.

Los expertos no llegaron a un consenso sobre el origen de los atacantes. Microsoft vincula la ola de explotación de SharePoint con grupos chinos Linen Typhoon, Violet Typhoon y Storm-2603, que, según la corporación, preparaban el despliegue del programa Warlock. Resecurity, que monitorizó la campaña, considera más probable la implicación de estructuras chinas, pero no descarta la participación de agrupaciones de otros países que obtuvieron acceso a los exploits mediante intercambios en la darknet. Según especialistas, las vulnerabilidades pudieron reproducirse tras su demostración en Pwn2Own Berlin por investigadores de Viettel Cyber Security, lo que aceleró la difusión de los exploits en la darknet.

El escaneo y los primeros ataques se realizaron desde servidores en Taiwán, Vietnam, Corea del Sur y Hong Kong —una geografía típica para operaciones de grupos APT chinos que intentan ocultar la fuente de la actividad. En Resecurity señalan que la campaña se basó en el abuso del Programa de Protección Activa de Microsoft (Microsoft Active Protections Program, MAPP), que proporciona a los socios acceso anticipado a datos sobre vulnerabilidades. Sin embargo, después de que los detalles técnicos se difundieron en fuentes abiertas, otros atacantes empezaron a utilizar los exploits.

Aunque el ataque se dirigió a la infraestructura de TI de la planta, los especialistas en seguridad industrial advierten del peligro de una posible transición al nivel de operaciones (OT), que controla las líneas de ensamblaje robotizadas, los controladores lógicos programables (PLC) y los sistemas SCADA, responsables del suministro de energía y del control ambiental. Incluso manteniendo el circuito de producción físicamente aislado de la red corporativa, no se pueden descartar riesgos de cruce completo de canales.

El incidente se convirtió en un ejemplo de cómo el retraso en las medidas de ciberseguridad en entornos operativos crea una amenaza para instalaciones estratégicas. Mientras que las agencias federales ya implementan la arquitectura de «confianza cero» para la infraestructura de TI, un sistema similar para las redes de producción aún está en desarrollo. El Departamento de Defensa prepara su propio conjunto de medidas de control para entornos OT, que en el futuro deben integrarse con la norma federal general.

Incluso si los atacantes obtuvieron acceso solo a datos no clasificados, esa información tiene un alto valor. Las especificaciones técnicas, las tolerancias y los parámetros de ensamblaje pueden arrojar luz sobre la precisión de los armamentos estadounidenses, la estructura de las cadenas de suministro o los métodos de control de calidad. Esto permite a los adversarios evaluar de forma indirecta la fiabilidad y las capacidades tecnológicas de los programas de defensa de Estados Unidos.

Más tarde, el Departamento de Energía confirmó oficialmente que la vulnerabilidad en SharePoint se utilizó contra la NNSA, pero que el daño fue mínimo y no se detectó la compromisión de información clasificada. No obstante, el caso subrayó la vulnerabilidad de la industria de defensa incluso frente a ataques que afectan únicamente a los sistemas corporativos.