En las últimas semanas, varios organismos públicos europeos han confirmado que sufrieron intrusiones informáticas vinculadas a fallos de seguridad en una herramienta de gestión de dispositivos móviles. Entre los afectados están la Autoridad de Protección de Datos de los Países Bajos (Autoriteit Persoonsgegevens, AP) y la Consejería para la Administración de Justicia neerlandesa, que notificaron al parlamento que sus sistemas se vieron comprometidos tras aprovecharse vulnerabilidades en Ivanti Endpoint Manager Mobile (EPMM).
Ivanti EPMM es una plataforma diseñada para administrar terminales móviles, aplicaciones y contenidos corporativos, y suele utilizarse para asegurar políticas, desplegar aplicaciones y gestionar inventarios de dispositivos. Cuando una herramienta con ese nivel de control queda expuesta, no solo peligran los equipos individuales, sino también la información operativa asociada a la administración del servicio. Es precisamente ese riesgo el que han evidenciado los incidentes recientes: en varios casos los atacantes alcanzaron datos relativos al funcionamiento del servicio y a los propios empleados, incluyendo nombres, correos profesionales y números de teléfono.
La Comisión Europea también informó de hallazgos similares en su infraestructura central de gestión móvil, donde se detectaron «trazas» de un intento de acceso que podría haber permitido recopilar nombres y números de móvil de parte de su personal. Según la institución, el episodio fue contenido en menos de nueve horas y no constan dispositivos móviles comprometidos, aunque la investigación continúa. Puede consultarse la nota oficial de la Comisión en su comunicado.
Por su parte, Finlandia hizo pública una brecha de datos en la que el proveedor estatal de tecnologías de la información, Valtori, explicó que hasta 50.000 empleados públicos podrían haber visto expuesta su información laboral. Valtori atribuyó el incidente a la explotación de una vulnerabilidad zero-day en el servicio de gestión de dispositivos y aseguró haber aplicado el parche el mismo día en que Ivanti publicó las correcciones.
Ivanti publicó soluciones para dos fallos identificados como CVE-2026-1281 y CVE-2026-1340, ambos con puntuaciones CVSS muy altas (9.8), que permiten ejecución remota de código sin autenticación. La empresa reconoció además que estas vulnerabilidades ya estaban siendo explotadas en la naturaleza como zero-days. Para quien quiera contrastar la información técnica, los registros públicos de vulnerabilidades ofrecen las fichas correspondientes en la base de datos nacional de vulnerabilidades: CVE-2026-1281 y CVE-2026-1340, y la propia Ivanti mantiene un apartado con avisos de seguridad en su web oficial (Ivanti Security Advisories).
Un detalle preocupante que han revelado las investigaciones es que el sistema de gestión aparentemente no borraba de forma permanente cierta información cuando se eliminaba: marcaba datos como eliminados pero en realidad los conservaba. Eso amplifica el alcance del incidente, porque datos pertenecientes a organizaciones que utilizaron el servicio a lo largo del tiempo podrían haber quedado accesibles. Además, en entornos corporativos un mismo dispositivo puede haber sido usado por varias personas, lo que complica aún más la contabilidad de la exposición.
Estas situaciones no son solo un problema técnico: sus consecuencias incluyen riesgos de suplantación, phishing dirigido y amenazas a la privacidad de jueces, funcionarios y empleados públicos. Cuando se filtran nombres, correos de trabajo y números de teléfono, los atacantes disponen de material muy valioso para crear campañas de ingeniería social convincentes. Además, la afectación de sistemas de gestión implica la posibilidad de accesos posteriores más profundos si no se actúa con rapidez y transparencia.
La agenda de respuesta habitual pasa por aplicar parches de inmediato, auditar los accesos, forzar el restablecimiento de credenciales cuando sea necesario y revisar los controles de autenticación multifactor. También es clave investigar si se han exfiltrado otros tipos de datos, evaluar la persistencia del atacante y notificar a las autoridades competentes y a los afectados, siguiendo las obligaciones legales de cada país. En el caso neerlandés, la información sobre la comunicación con el parlamento y las medidas iniciales está recogida en el documento oficial citado más arriba.
Desde una perspectiva más amplia, estos incidentes vuelven a poner sobre la mesa la importancia de gestionar riesgos en la cadena de suministro digital. Muchas organizaciones delegan funciones críticas a proveedores externos y herramientas de gestión que, si contienen vulnerabilidades explotables, transforman un único punto débil en un vector con impacto transversal. La vigilancia sobre los parches, la segmentación de redes, la monitorización continua y los acuerdos claros sobre seguridad con los proveedores son prácticas que deberían reforzarse tras sucesos de este tipo.
Para quien quiera profundizar: el Centro Nacional de Ciberseguridad de los Países Bajos (NCSC) es habitualmente el primer actor en coordinar respuestas a este tipo de alertas a nivel nacional, y publica guías y advertencias útiles para administraciones y empresas. Su web en inglés contiene recursos de orientación práctica sobre gestión de incidentes. En paralelo, las notas oficiales de los organismos afectados —como las citadas de la Comisión Europea, el gobierno neerlandés y Valtori— aportan transparencia sobre alcance, cronología y medidas adoptadas.
En definitiva, estamos ante un recordatorio contundente de que las herramientas que administran dispositivos y datos en entornos corporativos y gubernamentales deben recibir la misma atención en seguridad que los sistemas que almacenan información crítica. La rapidez en parchear y la claridad en la comunicación con empleados y ciudadanos son hoy la primera línea de defensa frente a filtraciones que, aunque en muchos casos no comprometan dispositivos finales, sí pueden minar la confianza pública y facilitar ataques posteriores.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...