Ivanti ha publicado un aviso urgente sobre una nueva falla de seguridad en su gestor de dispositivos móviles on‑premise, Endpoint Manager Mobile (EPMM), identificada como CVE-2026-6973, con una puntuación CVSS de 7.2, y que ya ha sido explotada en un número muy limitado de incidentes en entornos reales, según la propia empresa. La vulnerabilidad es un problema de validación insuficiente de entrada que, en presencia de credenciales administrativas, permite la ejecución remota de código; Ivanti advierte que la explotación requiere autenticación con privilegios administrativos, por lo que la exposición depende tanto de la presencia de la versión vulnerable como del control de acceso a las cuentas de administración.
Además de CVE-2026-6973, Ivanti ha corregido cuatro fallos adicionales en EPMM on‑premise que merecen atención inmediata: CVE-2026-5786 (acceso administrativo por control de acceso incorrecto), CVE-2026-5787 (validación de certificados que permite impersonación y obtención de certificados firmados por la CA), CVE-2026-5788 (invocación arbitraria de métodos por un atacante no autenticado) y CVE-2026-7821 (inscripción no autorizada de dispositivos y filtración de información de la appliance). El conjunto incluye fallos que no requieren autenticación previa, lo que los coloca en una posición de prioridad alta para la mitigación.
El gobierno de Estados Unidos ha reaccionado incluyendo la falla en el catálogo de vulnerabilidades explotadas conocidas (Known Exploited Vulnerabilities, KEV) de la CISA, lo que obliga a las agencias federales civiles a aplicar las correcciones antes del 10 de mayo de 2026. Esta inclusión subraya el riesgo operativo y la necesidad de priorizar despliegues de parches, no sólo en entornos gubernamentales sino también en empresas que manejan dispositivos móviles corporativos críticos.
Ivanti indica que las correcciones están incluidas en las versiones 12.6.1.1, 12.7.0.1 y 12.8.0.1 de EPMM; si su instalación está en versiones anteriores, la acción más urgente es planificar y ejecutar la actualización a esas versiones o superiores. Dado que las vulnerabilidades afectan únicamente la versión on‑premise de EPMM y no a Ivanti Neurons for MDM (cloud) ni a otros productos Ivanti, es crucial identificar con precisión qué instancia se tiene en producción antes de tomar decisiones técnicas.
Si su organización ya fue notificada o sospecha de una explotación previa (por ejemplo por incidentes relacionados con CVE-2026-1281 o CVE-2026-1340), Ivanti recomienda que se hayan rotado credenciales administrativas; esa rotación reduce significativamente la superficie de riesgo frente a CVE-2026-6973. Complementariamente, es recomendable realizar una revisión forense de logs de acceso administrativo, verificar integridad de binarios y configuraciones, y buscar indicadores de compromiso relacionados con la emisión o uso inusual de certificados y con inscripciones de dispositivos no autorizadas.
En la práctica, las medidas inmediatas consisten en aplicar el parche oficial, rotar credenciales administrativas y de servicio, forzar la revocación y reemisión de certificados afectados si procede, y restringir el acceso a la interfaz de gestión de EPMM mediante segmentación de red, VPNs de administración y listas de control de acceso. Active la autenticación multifactor en las cuentas con privilegios y aumente el nivel de monitoreo alrededor de los endpoints de gestión: busque accesos administrativos fuera de horas, cambios en plantillas de inscripción y tráfico TLS anómalo que pueda indicar impersonación de Sentry o intentos de obtención de certificados.
Desde el punto de vista operativo y de gobernanza, coordine con su equipo de seguridad, con el proveedor y con terceros que gestionen dispositivos móviles para garantizar que las actualizaciones se desplieguen de forma controlada y que existan copias de seguridad y planes de rollback. Consulte la nota técnica y el advisory del fabricante para instrucciones específicas de actualización, y contraste con fuentes públicas de referencia como el catálogo de la CISA y la base de datos NVD para seguimiento de las entradas CVE y la telemetría pública: Avisos de seguridad de Ivanti y la ficha de la CISA en el catálogo KEV mencionada arriba, así como la página del NVD para cada CVE (CVE-2026-6973 en NVD).
En resumen, trate estas correcciones como prioritarias: actualice EPMM on‑premise a las versiones parcheadas, rote credenciales administrativas, refuerce controles de acceso y revise los registros en busca de actividad sospechosa. La combinación de parches técnicos y medidas de detección/contención reduce significativamente la probabilidad de que un exploit observado en la naturaleza tenga impacto real en su organización.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...