.png){kind=small}
|
La seguridad documental está en riesgo crítico este 28 de abril de 2026. Se ha detectado la explotación activa del CVE-2026-32201 en Microsoft SharePoint Server, una vulnerabilidad de suplantación de identidad (spoofing) que permite a atacantes remotos tomar control de sesiones sin interacción del usuario. Dado que el volumen de fallos este mes duplica las cifras de marzo, los administradores deben ejecutar el siguiente manual técnico de mitigación de forma inmediata.
📊 Matriz de Riesgo y Prioridad: Abril 2026
| Parámetro Técnico | Detalle de la Amenaza | Nivel de Riesgo |
| Identificador | CVE-2026-32201 | Crítico (CVSS 9.8) |
| Vector de Ataque | Suplantación de identidad (Spoofing) | Red / Remoto |
| Interacción | No requiere intervención del usuario | Máxima Alerta |
| Estado Actual | Explotación activa detectada | Aplicar Manual Ahora |
🛠️ Manual Técnico: Mitigación Paso a Paso del CVE-2026-32201
Este procedimiento neutraliza el vector de ataque mediante el endurecimiento de los protocolos de autenticación en los servidores de la granja de SharePoint.
1. Activación de la Protección Extendida (EPA)
La medida defensiva más robusta es forzar la validación de los canales de autenticación mediante el Administrador de IIS. Según el
Abra el Administrador de IIS.
Seleccione el sitio de SharePoint > Autenticación.
En Autenticación de Windows, haga clic derecho en Configuración avanzada.
Establezca la Protección extendida en "Requerida".
2. Restricción de NTLM mediante GPO
Para evitar el spoofing, debe forzar el uso de Kerberos en su red corporativa, limitando el tráfico NTLM que utiliza el exploit.
Acceda a la directiva:
Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad.Configure "Seguridad de red: Restringir NTLM: Tráfico NTLM entrante" en Denegar todas las cuentas.
Esta configuración es fundamental para cumplir con los estándares de
CISA
3. Implementación de Reglas en el WAF Perimetral
Si su servidor está expuesto a internet, configure su Web Application Firewall para inspeccionar encabezados de autenticación anómalos.
Cree una regla de filtrado para bloquear cualquier petición HTTP que contenga intentos de degradación de protocolo hacia NTLMv1.
Monitoree los registros del firewall buscando patrones de ataque dirigidos a los endpoints
/vti_bin/de SharePoint.
🔍 FAQ: Mitigación CVE-2026-32201 SharePoint
Es una vulnerabilidad de spoofing en Microsoft SharePoint Server con una puntuación CVSS de 9.8. Es crítica porque permite a atacantes remotos suplantar identidades y tomar control de sesiones sin que el usuario interactúe.
La EPA (Extended Protection for Authentication) fuerza la validación de los canales de autenticación en IIS, lo que bloquea eficazmente los ataques de retransmisión de credenciales utilizados por este exploit.
Restringir el tráfico NTLM entrante y forzar el uso de Kerberos elimina el vector de ataque principal del spoofing, cumpliendo además con los estándares de seguridad exigidos por CISA.
Se deben configurar reglas para bloquear intentos de degradación a protocolos antiguos como NTLMv1 y monitorear específicamente peticiones anómalas dirigidas a los endpoints /vti_bin/ del servidor.
🔗 Contenido Relacionado
Manual de Ingeniería 2026: Cómo asegurar la visibilidad técnica en entornos de IA
Por:
CEO | Editor en NEWSTECNICAS
