Una vulnerabilidad en Excel descubierta hace casi dos décadas está siendo explotada activamente por grupos de ciberdelincuentes, según ha reportado la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). Este hallazgo evidencia la persistencia de ciertos fallos en software obsoleto y el riesgo que suponen para organizaciones que no actualizan sus sistemas.
Detalles de la vulnerabilidad en Excel y su persistencia
La falla, relacionada con el componente Equation Editor incluido en Microsoft Office, permite la ejecución remota de código a través de documentos de Excel especialmente diseñados con código malicioso. Técnicamente, se trata de un desbordamiento de búfer en el procesado de ecuaciones matemáticas, que no requiere interacción del usuario, lo que eleva significativamente la peligrosidad de la amenaza.
Este componente se remonta a finales de los años 90 y, aunque Microsoft lanzó un parche en 2017 para corregir esta vulnerabilidad (CVE-2017-11882), continúa siendo explotada debido a que muchas organizaciones mantienen versiones antiguas de Office sin actualizar, como Excel 2003 o 2010.
Explotación activa en 2024 y actores involucrados
Las recientes campañas detectadas en 2023 y 2024 se atribuyen principalmente a grupos avanzados de amenazas persistentes, como UNC5174 —vinculado con China— y Salt Typhoon (APT41). Estos atacantes emplean documentos maliciosos enviados por spear-phishing o aprovechando descargas automáticas para inyectar malware como ShadowPad o Cobalt Strike, facilitando el acceso no autorizado, el movimiento lateral y la exfiltración dentro de redes corporativas y gubernamentales.
El uso continuado de esta vulnerabilidad refleja un problema común en ciberseguridad: la persistencia de fallos antiguos que reaparecen periódicamente cuando no se aplica un correcto mantenimiento y parcheado en infraestructuras críticas.
Medidas y recomendaciones para mitigar el riesgo
Microsoft recomienda encarecidamente actualizar todas las versiones de Office a las más recientes, especialmente a través de sus plataformas LTSC o Microsoft 365, y aplicar los parches publicados desde 2017. Además, es aconsejable deshabilitar el Equation Editor mediante políticas de registro o directivas de grupo, y bloquear las macros para evitar vectores de ataque relacionados.
Herramientas de detección como firmas YARA o Sigma, así como utilidades oficiales para eliminar componentes vulnerables, pueden ayudar en la protección adicional contra estos ataques.
Contexto actual y su relevancia para la ciberseguridad
El resurgimiento de esta vulnerabilidad ilustra que, pese al avance tecnológico y la aparición de nuevas técnicas de ataque, los exploits antiguos continúan siendo efectivos si se mantienen sistemas sin actualizaciones. El hecho de que se clasifique con una severidad elevada (con puntuaciones alrededor de 8.8) subraya el impacto potencial que puede tener un ataque exitoso.
Este ciclo pone de manifiesto la importancia de implementar una higiene de parches rigurosa en todos los niveles y de entender que la ciberseguridad no solo depende de defenderse de lo novedoso, sino de corregir vulnerabilidades históricas que permanecen como puertas abiertas para actores maliciosos.
