Investigadores de seguridad informaron de que una campaña cibernética a gran escala está dirigida a sistemas que ejecutan Ivanti Endpoint Manager Mobile (EPMM), una plataforma de gestión de dispositivos móviles ampliamente utilizada, tras la revelación de dos vulnerabilidades críticas de día cero. Los atacantes están escaneando internet con decenas de miles de direcciones IP para identificar y explotar instancias no parcheadas del software.
Ivanti reveló las vulnerabilidades, rastreadas como CVE-2026-1281 y CVE-2026-1340, el 29 de enero de 2026. Ambos tienen puntuaciones elevadas que reflejan el riesgo de ejecución remota de código no autenticado en servidores afectados. Los exploits de prueba de concepto se hicieron públicos inmediatamente después de la divulgación, lo que provocó un rápido aumento en los intentos de escaneo y explotación por parte de múltiples actores amenazantes.
Los datos de monitorización de amenazas muestran que en algunos días, los atacantes acumularon más de 28.000 direcciones IP distintas para sondear instalaciones EPMM vulnerables, con más de 39.000 conexiones registradas contra un único honeypot utilizado para medir actividades maliciosas. En comparación, otras vulnerabilidades de alto perfil suelen atraer escaneos de muchas menos fuentes.
Las organizaciones de seguridad han identificado cientos de sistemas EPMM expuestos a internet en Alemania, Estados Unidos, Reino Unido, Suiza, Hong Kong, China, Francia, España, Países Bajos y Suecia. Existen muchas más instalaciones detrás de cortafuegos corporativos, donde deberían estar protegidas del acceso directo a internet.
Informes independientes indican que las vulnerabilidades se han vinculado a violaciones confirmadas de sistemas gubernamentales en Europa. La Comisión Europea afirmó que detectó y contuvo un ciberataque a la infraestructura responsable de gestionar los dispositivos móviles del personal que podría haber permitido el acceso a información personal limitada. Ataques similares contra agencias gubernamentales en Finlandia y los Países Bajos se han atribuido a la explotación de los mismos defectos.
Ivanti aconsejó a clientes y administradores aplicar parches de emergencia y publicó directrices y herramientas para ayudar a evaluar la posible explotación. Los parches estuvieron disponibles poco después de que se revelaran los fallos, y la empresa ha animado a las organizaciones a actualizar los sistemas afectados de inmediato para evitar compromisos.
Los expertos señalaron que la rápida aparición de explotación masiva tras la divulgación pública subraya los riesgos asociados a las vulnerabilidades de día cero en software de gestión ampliamente desplegado. Los sistemas EPMM se utilizan para hacer cumplir políticas de seguridad, gestionar los dispositivos de los empleados y distribuir aplicaciones en entornos iOS, Android y Windows. Si un atacante toma el control de estos sistemas, puede acceder potencialmente a datos corporativos sensibles y desplegar código malicioso sin ser detectado.
Los investigadores advierten que las instancias sin parchear siguen expuestas y que es probable que los actores maliciosos continúen escaneando, a menos que los administradores aseguren sus redes y apliquen las últimas actualizaciones. La campaña pone de relieve desafíos de seguridad más amplios para las organizaciones que dependen de plataformas de gestión de dispositivos para la continuidad operativa y la protección de datos.