Explotación de Zero-Day en Ivanti Compromete Datos de Empleados en Países Bajos
Publicado el
Explotación de Vulnerabilidades en Ivanti EPMM
La Autoridad Neerlandesa de Protección de Datos (AP) y el Consejo de la Judicatura han confirmado que sus sistemas fueron afectados por ciberataques que explotaron vulnerabilidades críticas en Ivanti Endpoint Manager Mobile (EPMM). En un comunicado dirigido al parlamento del país, se informó que el 29 de enero, el Centro Nacional de Ciberseguridad (NCSC) recibió notificaciones sobre las fallas de seguridad en EPMM, una herramienta utilizada para gestionar dispositivos móviles y sus respectivas aplicaciones.
Las investigaciones revelaron que datos laborales de empleados de la AP, tales como nombres, direcciones de correo electrónico corporativas y números de teléfono, fueron accedidos por individuos no autorizados. Este incidente ha generado preocupación sobre la seguridad de la información en las instituciones gubernamentales.
Impacto en la Comisión Europea
Simultáneamente, la Comisión Europea también ha informado que su infraestructura central, responsable de la gestión de dispositivos móviles, detectó rastros de un ataque cibernético. Este ataque podría haber permitido el acceso a nombres y números de teléfono de algunos de sus empleados. Afortunadamente, la Comisión logró contener el incidente en un plazo de nueve horas y no se detectó ninguna compromiso de dispositivos móviles. La Comisión subrayó su compromiso con la seguridad y la resiliencia de sus sistemas internos, indicando que seguirán monitoreando la situación y tomando las medidas necesarias para garantizar la integridad de sus datos.
Detalles sobre las Vulnerabilidades
Aunque se ha confirmado la explotación de estas vulnerabilidades, no se han divulgado detalles sobre cómo los atacantes lograron acceder a los sistemas. Se sospecha que las actividades maliciosas están vinculadas a la explotación de las fallas en Ivanti EPMM. Adicionalmente, la entidad de tecnología de la información y comunicaciones del gobierno de Finlandia, Valtori, también ha revelado una brecha de seguridad que expuso datos laborales de hasta 50,000 empleados gubernamentales. Este incidente, identificado el 30 de enero de 2026, aprovechó una vulnerabilidad de zero-day en el servicio de gestión de dispositivos móviles.
La agencia finlandesa informó que aplicaron un parche correctivo el mismo día en que Ivanti lanzó soluciones para dos de sus vulnerabilidades más críticas: CVE-2026-1281 y CVE-2026-1340, ambas con un puntaje de 9.8 en la escala CVSS, lo que indica un riesgo severo de ejecución remota de código no autenticado.
Conclusiones
Ivanti ha admitido que las vulnerabilidades han sido explotadas como zero-days, lo que ha permitido a los atacantes obtener información vital para la operación del servicio, incluyendo nombres, correos electrónicos de trabajo, números de teléfono y detalles de los dispositivos. Según se ha indicado, el sistema de gestión no eliminó permanentemente los datos que fueron eliminados, sino que solo los marcó como tales. Por lo tanto, los datos de dispositivos y usuarios pertenecientes a todas las organizaciones que han utilizado el servicio pueden haber estado comprometidos. En algunos casos, un único dispositivo móvil puede haber tenido múltiples usuarios.
El aumento de los ataques cibernéticos y la explotación de vulnerabilidades críticas subrayan la necesidad de reforzar las medidas de seguridad en las instituciones, para proteger la información sensible de empleados y ciudadanos.