La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha elevado la alarma sobre una vulnerabilidad de alta gravedad en Ivanti Endpoint Manager (EPM) y ha ordenado a las agencias federales que apliquen parches en un plazo de tres semanas. Registrada como CVE-2026-1603, la falla permite a atacantes remotos sortear mecanismos de autenticación y extraer credenciales mediante un ataque de tipo cross-site scripting (XSS) que, según los avisos, es de baja complejidad y no requiere interacción por parte del usuario.
Ivanti EPM es una plataforma integral para gestionar endpoints y dispositivos de cliente en múltiples sistemas operativos y entornos, incluidos Windows, macOS, Linux, Chrome OS y dispositivos IoT. Esa amplitud funcional es precisamente lo que convierte a sus vulnerabilidades en un blanco atractivo: una falla en el servidor de gestión puede traducirse en acceso a decenas o cientos de equipos administrados.
Ivanti publicó correcciones hace aproximadamente un mes al lanzar la versión Ivanti EPM 2024 SU5, que además de mitigar el XSS corrige una inyección SQL que podría permitir la lectura arbitraria de datos en la base de datos. El comunicado de la compañía detalla las mitigaciones disponibles y los enlaces de descarga en su boletín de seguridad; puede consultarse en su portal oficial.
Aunque Ivanti señaló que, hasta la publicación de su aviso y a la hora de ser consultada por la prensa, no había recibido notificaciones confirmadas de explotación en clientes, CISA decidió incluir la vulnerabilidad en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y la calificó como aprovechada en ataques reales, una decisión que suele basarse en telemetría de múltiples fuentes y en patrones de ataque observados. El propio aviso de CISA sobre nuevas inclusiones en el catálogo recoge esta adición y subraya que las fallas de este tipo son vectores frecuentes para actores maliciosos: ver comunicado de CISA, y la entrada concreta en el catálogo puede consultarse aquí.
El alcance potencial del problema también queda reflejado en escaneos públicos: la plataforma de monitorización Shadowserver muestra más de 700 instancias de Ivanti EPM expuestas en Internet, principalmente en Norteamérica, aunque no hay un dato público que indique cuántas de esas instancias están ejecutando versiones vulnerables o ya parcheadas. La vista de Shadowserver ofrece una radiografía del estado de exposición pública y puede revisarse en su dashboard: ver estadísticas de Shadowserver.
Las autoridades federales no han actuado de forma aislada: la inclusión en el KEV desencadena una obligación vinculante para las agencias civiles ejecutivas del Gobierno de EE. UU., que deben aplicar la corrección en el plazo que marca la directiva operativa. Esa exigencia proviene de la BOD 22-01, la directiva del Departamento de Seguridad Nacional que establece tiempos y prioridades para mitigar vulnerabilidades catalogadas como explotadas en la naturaleza; el documento completo está disponible en el sitio del DHS: BOD 22-01.
Es importante poner este episodio en contexto: Ivanti y otros gestores de endpoints han sido objetivos recurrentes. En 2024, CISA ya urgió a asegurar redes contra varias fallas en EPM que se estaban explotando activamente, y en octubre de ese año también fuerzan la aplicación de parches para otra vulnerabilidad de Ivanti detectada en entornos reales. La reiteración de estos incidentes subraya dos realidades del panorama de ciberseguridad actual: por un lado, las herramientas de gestión centralizada concentran impacto potencial; por otro, los grupos de ataque priorizan fallas que permiten acceso inicial o exfiltración de credenciales.
Para equipos de seguridad y responsables de infraestructura hay una serie de pasos prácticos que deberían priorizarse de inmediato. En primer lugar, confirmar si se está ejecutando alguna versión afectada de Ivanti EPM y aplicar los parches publicados por el proveedor. A continuación, si hay instancias accesibles desde Internet, es aconsejable restringir el acceso externo mediante firewall y VPN, y considerar la desconexión temporal de servicios expuestos mientras se valida la corrección. También conviene revisar registros y alertas para detectar actividad inusual alrededor del panel de administración, además de forzar la rotación de credenciales y claves administrativas para minimizar el riesgo en caso de que ya se haya producido una filtración. Por último, mantener una política de defensa en profundidad —segmentación de red, autenticación multifactor y buen control de privilegios— reduce la probabilidad de que una vulnerabilidad aislada escale hasta comprometer entornos críticos.
Ivanti presta servicios y productos a decenas de miles de organizaciones a través de una extensa red de partners, lo que multiplica la importancia de una respuesta coordinada y rápida. La interacción entre avisos de fabricantes, telemetría de organizaciones como Shadowserver y advertencias de agencias como CISA constituye hoy la mejor línea de defensa para acelerar la mitigación de fallas de alto riesgo. Si administras sistemas EPM, la recomendación es clara: verificar versiones, aplicar parches y reducir la exposición pública sin demora.
Para ampliar información técnica y seguir la evolución del incidente, consulte las fuentes oficiales enlazadas en este texto y esté atento a los boletines de Ivanti y a las actualizaciones de CISA, que reflejan tanto la situación de explotación como las directrices para responder en el entorno federal y privado.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...