Una serie de ataques vinculados a vulnerabilidades de día cero en Ivanti Endpoint Manager Mobile comprometieron los sistemas de la Comisión Europea, la Autoridad de Protección de Datos de Países Bajos y el Consejo de la Judicatura, permitiendo el acceso no autorizado a información del personal de esas entidades.
La Comisión Europea y dos agencias públicas Países Bajos enfrentaron recientemente una serie de ciberataques cuya consecuencia fue la exposición de datos del personal de las entidades afectadas. El epicentro del incidente fue una plataforma de gestión de dispositivos móviles utilizada para administrar los equipos de trabajo del personal, que fue vulnerada por atacantes que explotaron fallas recientemente divulgadas en un producto comercial ampliamente implementado.
El pasado 30 de enero de 2026, la Comisión Europea detectó una brecha en la infraestructura central que gestiona los móviles del personal, lo que pudo haber permitido a los atacantes acceder a nombres y números telefónicos de algunos de sus trabajadores. Un portavoz de la Comisión afirmó que no hay evidencia de que los dispositivos móviles en sí mismos hayan sido comprometidos, y que el incidente fue contenido y la plataforma limpiada en menos de nueve horas gracias a la rápida intervención de los equipos de respuesta.
Al mismo tiempo, las autoridades de los Países Bajos, incluida la Autoridad de Protección de Datos de los Países Bajos (AP) y el Consejo de la Judicatura (Rvdr), confirmaron que sus sistemas se vieron afectados por ataques similares que explotaron fallas críticas en el software de gestión mencionado, accediendo a datos como nombres, direcciones de correo electrónico profesionales y números de teléfono del personal.
Los ataques se han vinculado a dos vulnerabilidades de día cero, identificadas como CVE-2026-1281 y CVE-2026-1340, en Ivanti Endpoint Manager Mobile (EPMM), un sistema utilizado por empresas y organismos gubernamentales para administrar, asegurar y configurar dispositivos móviles corporativos. Estas fallas permiten a un atacante ejecutar código de forma remota sin autenticación previa si el software no ha sido debidamente actualizado, lo que las convierte en un blanco atractivo para actores maliciosos.
Ivanti divulgó los parches para estas vulnerabilidades el 29 de enero de 2026, justo antes de que se confirmara su explotación activa. Dado que algunos entornos seguían sin la protección aplicada, los atacantes pudieron escanear servidores EPMM expuestos a internet y ejecutar código malicioso para obtener acceso a información sensible.
La situación ha llevado a advertencias de agencias de seguridad informática tanto en Europa como en otros países, incluido el ingreso de al menos una de las fallas en el catálogo de vulnerabilidades explotadas activamente de CISA (Cybersecurity and Infrastructure Security Agency) en los Estados Unidos.
En su comunicado, la Comisión Europea reiteró su compromiso con la seguridad y resiliencia de sus sistemas internos y ha anunciado que continuará monitoreando el impacto del incidente mientras refuerza sus medidas defensivas para impedir accesos no autorizados futuros.