· Jonathan Izquierdo · Noticias seguridad ·
Hackean la Comisión Europea con un zero-day en Ivanti: qué falló y qué lecciones deja para tu empresa
Dos vulnerabilidades zero-day en Ivanti EPMM (CVSS 9.8) permitieron acceder a datos de funcionarios de la Comisión Europea, Países Bajos y Finlandia. Análisis técnico y lecciones.
El 30 de enero de 2026, la Comisión Europea detectó que atacantes habían accedido a su sistema central de gestión de dispositivos móviles explotando dos vulnerabilidades zero-day en Ivanti Endpoint Manager Mobile (EPMM) con puntuación CVSS 9.8 sobre 10 (Security Affairs, 9 Feb 2026). Nombres y números de teléfono de funcionarios quedaron expuestos. La Comisión Europea no fue la única víctima: las mismas vulnerabilidades afectaron a la Autoridad de Protección de Datos de Países Bajos, el Consejo del Poder Judicial neerlandés y la agencia finlandesa Valtori.
Cuando la institución que redacta la legislación de ciberseguridad de Europa es hackeada, el mensaje es claro: nadie es inmune. Como perito informático forense, analizo qué ocurrió, cómo funcionan estas vulnerabilidades y qué lecciones deja para cualquier empresa que gestione dispositivos móviles.
TL;DR: lo que necesitas saber en 30 segundos
| Aspecto | Detalle |
|---|---|
| Víctima | Comisión Europea + autoridades de Países Bajos y Finlandia |
| Producto afectado | Ivanti Endpoint Manager Mobile (EPMM) |
| Vulnerabilidades | CVE-2026-1281 y CVE-2026-1340 (ambas CVSS 9.8) |
| Tipo | Inyección de código remota sin autenticación (RCE) |
| Datos expuestos | Nombres y números de teléfono de funcionarios |
| Detección | 30 de enero de 2026 |
| Contención | 9 horas tras la detección |
| Parche | Parche temporal RPM disponible; fix completo en v12.8.0.0 (Q1 2026) |
Qué ocurrió: cronología del ataque
29 de enero de 2026: Ivanti publica un aviso de seguridad alertando de dos vulnerabilidades críticas zero-day en EPMM que están siendo explotadas activamente «contra un número muy limitado de clientes» (Ivanti Advisory)
30 de enero de 2026: la Comisión Europea detecta trazas de acceso no autorizado en su infraestructura central de gestión de dispositivos móviles
30 de enero (mismo día): los equipos de respuesta contienen el incidente y limpian los sistemas afectados en 9 horas
6 de febrero de 2026: la Comisión Europea hace público el incidente. CERT-EU abre investigación formal
Febrero de 2026: las autoridades de Países Bajos y Finlandia confirman que también fueron afectadas por las mismas vulnerabilidades (The Hacker News, Feb 2026)
Cómo funcionan las vulnerabilidades: análisis técnico
Las dos vulnerabilidades (CVE-2026-1281 y CVE-2026-1340) son fallos de inyección de código que permiten a un atacante ejecutar comandos del sistema operativo sin necesidad de autenticación previa.
Vector de ataque
| Elemento | Detalle |
|---|---|
| Endpoint vulnerable 1 | /mifs/c/appstore/fob/ (distribución de apps internas) |
| Endpoint vulnerable 2 | /mifs/c/aftstore/fob/ (configuración de transferencia Android) |
| Método | Petición HTTP GET con comandos Bash incrustados |
| Requisito de autenticación | Ninguno (acceso sin credenciales) |
| Resultado | Ejecución arbitraria de comandos en el servidor |
| CVSS | 9.8 / 10 (Crítico) |
Exploit público disponible
A fecha de 30 de enero de 2026, ya existe un proof-of-concept (PoC) funcional para explotación remota publicado por Horizon3.ai (Horizon3, Ene 2026). Esto significa que cualquier instancia de EPMM expuesta a Internet y sin parchear es vulnerable a ataques automatizados.
Qué datos quedaron expuestos
La Comisión Europea confirmó que los atacantes pudieron acceder a:
- Nombres de funcionarios registrados en el sistema MDM
- Números de teléfono móvil corporativos
No se detectó compromiso de los dispositivos móviles individuales. Sin embargo, esta información permite ataques de segundo nivel:
| Riesgo | Descripción |
|---|---|
| Vishing | Llamadas fraudulentas haciéndose pasar por soporte IT o superiores, usando nombre y número reales |
| Phishing dirigido | Emails personalizados con datos reales del funcionario para dar credibilidad |
| Ingeniería social | Suplantación de identidad en reuniones, videoconferencias o mensajes internos |
| Targeting físico | Localización de funcionarios con acceso a información clasificada |
Patrón de ataque coordinado
Según The Hacker News, el 83% de los intentos de explotación de estas vulnerabilidades proviene de una única dirección IP alojada en infraestructura de hosting «bulletproof» (resistente a takedowns legales). Los atacantes despliegan un payload latente que crea una puerta trasera para futuros ataques, incluso después de aplicar el parche (The Hacker News, Feb 2026).
Por qué una empresa de gestión de móviles es un objetivo de alto valor
Ivanti EPMM es un sistema de Mobile Device Management (MDM): la plataforma que controla, configura y supervisa todos los dispositivos móviles de una organización. Hackear el MDM equivale a tener las llaves de todos los móviles corporativos a la vez.
| Lo que controla un MDM | Por qué es crítico |
|---|---|
| Inventario de dispositivos | Lista completa de todos los móviles, tablets y usuarios de la organización |
| Configuraciones de red | Credenciales WiFi corporativas, VPN, certificados |
| Apps internas | Distribución de aplicaciones con datos confidenciales |
| Políticas de seguridad | Puede deshabilitar cifrado, PIN o borrado remoto |
| Email corporativo | Acceso a configuraciones de Exchange/Gmail empresarial |
Lecciones para tu empresa
1. Si usas Ivanti EPMM: actúa ahora
Verifica tu versión: si ejecutas una versión anterior a 12.8.0.0, eres vulnerable
Aplica el parche RPM temporal: disponible desde el 30 de enero de 2026 en el portal de Ivanti
Busca indicadores de compromiso (IoC): revisa logs de acceso a los endpoints
/mifs/c/appstore/fob/y/mifs/c/aftstore/fob/buscando peticiones GET inusualesAudita payloads latentes: los atacantes instalan puertas traseras que persisten tras el parche. Un análisis forense del servidor es necesario para descartarlas
2. Independientemente de tu MDM
| Medida | Impacto |
|---|---|
| No expongas el MDM a Internet | Limita el acceso al panel de gestión mediante VPN o lista blanca de IPs |
| Segmenta la red | El MDM no debe tener acceso directo a bases de datos corporativas |
| Monitoriza en tiempo real | Alertas automáticas ante peticiones HTTP anómalas a endpoints de gestión |
| Plan de respuesta | La Comisión Europea contuvo el incidente en 9 horas. ¿Cuánto tardaría tu empresa? |
Para PYMEs
No necesitas un MDM enterprise para estar en riesgo. Si tu empresa gestiona móviles corporativos con cualquier plataforma (Ivanti, Microsoft Intune, VMware Workspace ONE, Jamf), asegúrate de que el panel de administración no es accesible desde Internet sin VPN. El 90% de estos ataques se previenen con esta única medida.
Qué puede hacer un perito informático forense
Si sospechas que tu organización ha podido ser afectada por estas vulnerabilidades o por cualquier acceso no autorizado a sistemas de gestión:
| Servicio | Descripción |
|---|---|
| Análisis forense del servidor MDM | Revisión de logs, detección de payloads latentes, identificación de accesos no autorizados |
| Evaluación de indicadores de compromiso | Búsqueda de artefactos específicos de estas CVEs en la infraestructura |
| Informe de incidentes para AEPD | Documentación técnica del alcance de la brecha para cumplir con la notificación obligatoria de 72 horas del RGPD |
| Análisis de impacto | Determinación exacta de qué datos fueron accedidos y qué riesgo supone para los afectados |
Preguntas frecuentes
¿Qué es un ataque zero-day?
Un ataque zero-day explota una vulnerabilidad que el fabricante del software desconoce o para la que aún no ha publicado un parche. El nombre «zero-day» (día cero) se refiere a que el equipo de seguridad tiene cero días de ventaja entre el descubrimiento de la vulnerabilidad y su explotación activa. En este caso, Ivanti publicó el aviso y el parche el mismo día, pero los atacantes ya llevaban tiempo explotando las vulnerabilidades.
¿Mi empresa tiene obligación de notificar si ha sido afectada?
Sí. Si se han expuesto datos personales (como nombres y teléfonos), el RGPD obliga a notificar a la AEPD en un plazo máximo de 72 horas desde la detección de la brecha (artículo 33 RGPD). Si el riesgo para los afectados es alto, también hay que notificar a las personas cuyos datos han sido expuestos (artículo 34 RGPD). Un informe forense que determine el alcance exacto de la brecha es imprescindible para cumplir estas obligaciones.
¿Cuánto cuesta una auditoría forense post-incidente?
Una auditoría forense de un servidor MDM comprometido tiene un coste orientativo de 800 a 3.000 euros dependiendo del tamaño de la infraestructura y el volumen de logs a analizar. Incluye análisis de indicadores de compromiso, búsqueda de payloads latentes, informe técnico para la dirección y documentación para la AEPD.
¿Tu empresa usa Ivanti u otro MDM expuesto a Internet?
Auditoría forense de tu infraestructura de gestión de dispositivos móviles. Identificamos vulnerabilidades y accesos no autorizados.
Solicitar auditoríaConclusión: si hackean a la Comisión Europea, pueden hackearte a ti
Cuando una institución con los recursos de ciberseguridad de la Comisión Europea es comprometida en horas mediante un zero-day, el mensaje para las empresas españolas es inequívoco: la seguridad de tus sistemas de gestión de dispositivos móviles no es negociable.
Los 929 millones en fraudes deepfake, los 122.223 ciberincidentes gestionados por INCIBE en 2025, y ahora el hackeo de las instituciones europeas: el panorama de amenazas de 2026 no deja margen para la complacencia. Revisa tu MDM, aplica los parches, y si sospechas cualquier anomalía, actúa antes de que el atacante instale su puerta trasera.
Fuentes consultadas: Security Affairs (9 Feb 2026), The Register (9 Feb 2026), BleepingComputer (Feb 2026), The Hacker News (Feb 2026), The Hacker News - 83% IP (Feb 2026), Tenable (Ene 2026), Horizon3.ai (PoC exploit), Rapid7 (Ene 2026), Help Net Security (30 Ene 2026)
Sobre el autor: Jonathan Izquierdo es perito informático forense, ex-CTO y 5x AWS Certified, especializado en análisis de incidentes, respuesta a brechas de seguridad y peritaje forense con metodología ISO 27037.
Última actualización: Febrero 2026
