El 30 de enero de 2026, CERT-EU (El equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y agencias de la Unión Europea) identificó trazas de un ataque en la infraestructura central que gestiona los dispositivos móviles de la Comisión Europea; la Comisión afirma que el incidente “se contuvo y limpió en menos de 9 horas”.
La explotación está relacionada con dos fallos críticos de Ivanti Endpoint Manager Mobile (EPMM) -CVE-2026-1281 y CVE-2026-1340- que permiten inyección de código y ejecución remota sin autenticación. Ivanti publicó avisos y parches y también suministró herramientas de detección.
Investigaciones paralelas en Países Bajos han vinculado brechas en organismos como la Autoridad de Protección de Datos y el Consejo Judicial a la explotación de esas mismas fallas, lo que refuerza el patrón de ataques dirigidos contra despliegues on-premise de EPMM.
Autor y datos presuntamente expuestos
Informes y análisis de campañas previas asocian actividad similar a un actor con presunto vínculo a campañas con nexus China, aunque la atribución oficial suele requerir más evidencias y las investigaciones continúan. Los datos presuntamente expuestos son:
- Nombres de personal.
- Números de teléfono móvil laborales.
Aunque no hay confirmación pública de compromisos de los dispositivos móviles ni de exfiltración masiva de datos hasta el momento.
Detalles técnicos y referencias
- CVE-2026-1281 - code injection en Ivanti EPMM que permite ejecución remota de código sin autenticación. Consultar ficha NVD.
- CVE-2026-1340 - code injection similar en otra funcionalidad de EPMM, también con impacto RCE sin autenticación. Consultar ficha NVD.
Ivanti indica que las vulnerabilidades afectan funciones como In-House Application Distribution y Android File Transfer Configuration y que existen informes de explotación en entornos de clientes; publicó parches y guías de análisis de logs.
Alcance y matizaciones
El incidente en la Comisión fue contenido rápidamente y, según la institución, no se detectó compromiso de los dispositivos móviles como tal; sin embargo, la naturaleza pre-auth y las pruebas de explotación en el campo hacen que los equipos nacionales aconsejen asumir que sistemas fueron comprometidos antes del parcheo. Las agencias nacionales de seguridad (entre ellas NCSC-NL) han recomendado medidas conservadoras: rotación de contraseñas, renovación de claves privadas y búsqueda activa de movimientos laterales en redes internas. El CCN-CERT español publicó un aviso técnico para alertar y orientar a administradores sobre estos fallos y las medidas de mitigación.
Qué hacer ahora
Administradores / responsables de seguridad
- Aplicar parches inmediatos proporcionados por Ivanti o actualizar a la versión indicada por el proveedor.
- Asumir compromiso previo a parche y realizar análisis forense: buscar puertas traseras, procesos extraños, conexiones salientes inesperadas y evidencia de movimiento lateral.
- Cambiar contraseñas de las cuentas presentes en el sistema y renovar claves privadas TLS/SSH asociadas al appliance.
- Bloquear temporalmente funciones no esenciales de EPMM y limitar el acceso administrativo a IPs/roles validados.
Usuarios / empleados
- Si ha recibido instrucciones técnicas o SMS sospechosos, confirmar por los canales oficiales de su organización antes de actuar.
- Notificar incidencias al CSIRT interno y seguir las instrucciones del departamento de seguridad.
Más información
- Fuentes: helpnetsecurity.com e ivanti.com.
