Hace poco se encendieron las alarmas en el mundo de la ciberseguridad alrededor de una debilidad crítica en Ivanti Endpoint Manager Mobile (EPMM). Investigadores de la firma de inteligencia de red GreyNoise detectaron cientos de intentos de explotación dirigidos a esta falla, y lo llamativo no fue solo la cantidad, sino la concentración: la mayor parte de la actividad maliciosa procedía de una única dirección IP alojada en una infraestructura de tipo "bulletproof" asociada a PROSPERO. Que un solo actor o una sola plataforma coordine la mayoría de los ataques habla de automatización a gran escala y de estrategias de reconocimiento muy desarrolladas. Más detalles técnicos y cifras iniciales fueron publicados por GreyNoise en su análisis sobre la explotación activa de Ivanti: https://www.greynoise.io/blog/active-ivanti-exploitation.
Las vulnerabilidades en cuestión permiten, en el peor de los escenarios, la ejecución remota de código sin autenticación, lo que eleva su peligro. Una de ellas, identificada como CVE-2026-1281, recibió una puntuación CVSS muy alta (9.8), y se ha observado que los atacantes prueban estos fallos inmediatamente después de su divulgación pública. En entornos donde la gestión de dispositivos móviles (MDM) está expuesta a Internet, una brecha en el sistema de gestión puede convertirse en una puerta de entrada para comprometer toda la infraestructura corporativa.
El patrón de actividad descrito por GreyNoise no se limitó sólo a Ivanti: la misma IP que mostró un gran volumen de intentos contra EPMM estuvo explotando a la vez otras vulnerabilidades en productos no relacionados. Entre estas se cuentan fallos en Oracle WebLogic, en el demonio telnet de GNU InetUtils y en GLPI, este último referenciado públicamente en la base de datos de vulnerabilidades del NIST: CVE-2025-24799. La simultaneidad en la explotación de múltiples productos es típica de herramientas automatizadas que barren Internet en busca de objetivos vulnerables.
Otro dato relevante es la diversidad de huella del atacante: GreyNoise registró rotaciones por más de 300 cadenas de agente de usuario que emulaban navegadores y sistemas operativos distintos. Ese mosaico de firmar contribuye a camuflar la actividad y a sortear reglas sencillas de detección. Además, aproximadamente el 85% de las sesiones siguieron un patrón de comprobación mediante consultas DNS para verificar si el objetivo era explotable —sin llegar inicialmente a desplegar malware o a extraer información—, una técnica de sondeo que reduce la exposición del atacante y le permite catalogar objetivos susceptibles de acceso futuro.
Este método encaja con lo que en la industria se conoce como tradecraft de los "initial access brokers": actores que buscan obtener acceso inicial a redes para luego venderlo o transferirlo a otros grupos con objetivos de extorsión, espionaje o despliegue de cargas maliciosas. En días recientes, la compañía Defused Cyber informó sobre una campaña que dejó una "sleeper shell" —un cargador Java en memoria— en instancias comprometidas de EPMM, alojada en la ruta "/mifs/403.jsp". Esa forma de dejar una puerta trasera inactiva hasta su reactivación posterior es precisamente coherente con operaciones de acceso inicial destinadas a ser monetizadas más adelante.
La asociación de la IP señalada con una red que se evalúa como perteneciente a PROSPERO, y la conexión que algunos analistas trazan hacia otro sistema autónomo con historial en la distribución de distintos tipos de malware, subraya la continuidad entre infraestructuras "resilientes" para ataques y la actividad criminal organizada. Aunque la mera pertenencia a una infraestructura no prueba la autoría individual de ataques, sí aporta contexto operativo importante para defensores y equipos de respuesta.
¿Qué deberían hacer los responsables de seguridad que usan Ivanti EPMM? Lo prioritario es aplicar los parches que publica el fabricante y revisar cualquier instancia de EPMM expuesta a Internet. Ivanti mantiene un espacio con sus avisos de seguridad y actualizaciones, donde conviene consultar las recomendaciones oficiales y los parches disponibles: https://www.ivanti.com/support/security-advisories. Además del parcheo inmediato, es imprescindible auditar la superficie externa, buscar trazas de acceso inusual y analizar registros DNS para identificar callbacks que coincidan con patrones de comprobación oast (out-of-band application security testing).
Otra medida defensiva razonable es comprobar si en las instancias de EPMM aparece la ruta /mifs/403.jsp o cualquier otra señal de carga persistente en memoria, y bloquear en el perímetro de red el sistema autónomo atribuido a PROSPERO (AS200593) cuando sea posible. Estas acciones no garantizan inmunidad total, pero elevan significativamente el coste para un atacante que trate de explotar facilidad la infraestructura de gestión de dispositivos.
Las consecuencias de un EPMM comprometido son graves porque permiten a un atacante manipular la gestión de móviles y endpoints de toda una organización, lo que abre caminos internos que pueden sortear la segmentación tradicional de redes. Por eso los equipos de seguridad deben actuar con la premisa de que las vulnerabilidades críticas son susceptibles de ser explotadas en cuestión de horas después de su publicación, y diseñar procesos de respuesta y mitigación acordes a esa velocidad.
Más allá de los parches y bloqueos, conviene aprovechar este incidente como recordatorio de prácticas más amplias: limitar la exposición pública de herramientas de administración, segmentar con rigor los accesos remotos, reforzar la monitorización de tráfico DNS y aplicar detecciones basadas en comportamiento que no dependan únicamente de firmas estáticas. La seguridad de la gestión de dispositivos es un pilar de la resiliencia empresarial; fallos en ese eslabón afectan a usuarios, datos y continuidad operativa.
El episodio también plantea una reflexión sobre la economía del cibercrimen: la preferencia por infraestructuras que toleran abusos, el empleo de escaneo masivo para catalogar víctimas y la puesta en memoria de puertas traseras indican que muchos atacantes no buscan un impacto inmediato sino una cartera de accesos que pueda ser monetizada en el tiempo. Para las organizaciones, la respuesta debe ser igualmente paciente y metódica: parchear, investigar, endurecer y, cuando proceda, compartir hallazgos con autoridades y la comunidad para reducir el radio de acción de estos operadores.
Si gestionas EPMM o administras MDM expuesto a Internet, prioriza la evaluación y la remediación ahora mismo. La evidencia sugiere que la explotación es rápida y que los atacantes cuentan con herramientas automatizadas que prueban múltiples vectores a la vez. Mantente informado a través de los avisos oficiales del proveedor y de análisis de inteligencia en redes como el publicado por GreyNoise, y considera establecer controles adicionales para detectar y contener actividad sospechosa.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...