La infraestructura central de miles de empresas está bajo ataque activo. Un simple “número mágico” en una solicitud web permite a los ciberdelincuentes vaciar la bóveda de credenciales corporativas.
Las herramientas diseñadas para gestionar y proteger las redes corporativas continúan siendo el blanco principal de los piratas informáticos. Hoy, 10 de marzo de 2026, Se informa que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EE. UU. ha emitido una advertencia urgente tras añadir una falla crítica de Ivanti Endpoint Manager (EPM) a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV).
Registrada bajo el identificador CVE-2026-1603, esta vulnerabilidad de omisión de autenticación afecta a todas las versiones de Ivanti EPM anteriores al parche 2024 SU5. Permite a un atacante remoto no autenticado robar datos confidenciales de credenciales almacenadas en el sistema sin requerir ningún tipo de inicio de sesión previo.
El “Número Mágico” y el Robo de la Bóveda
Ivanti EPM es una plataforma de gestión de endpoints basada en clientes que las organizaciones utilizan para administrar enormes flotas de dispositivos. Dado que el software se sitúa en el centro mismo de la infraestructura de TI, el impacto de su compromiso es masivo.
El problema técnico (clasificado como CWE-288) radica en un error de concatenación de encabezados malformados dentro de un endpoint específico de la aplicación:
- Ciertas llamadas a la API dentro del sistema nunca fueron sometidas a los controles de autenticación estándar, dejando una ruta de acceso secundaria completamente desprotegida.
- La explotación de este fallo es sorprendentemente fácil: el atacante solo necesita enviar una solicitud HTTP manipulada que incluya un “número mágico” específico (el número entero 64).
- Con este simple paso, logran alcanzar endpoints protegidos y extraer fragmentos de credenciales encriptadas directamente desde la Bóveda de Credenciales (Credential Vault) de EPM.
- El botín expuesto incluye hashes de contraseñas de Administradores de Dominio y credenciales de cuentas de servicio clave, lo que permite al atacante moverse lateralmente por la red y escalar privilegios casi sin esfuerzo.
Para empeorar el escenario, los investigadores confirmaron que el CVE-2026-1603 se puede encadenar con una vulnerabilidad complementaria de inyección SQL (CVE-2026-1602), la cual permite a un atacante leer registros arbitrarios de la base de datos, creando una amenaza combinada sumamente severa.
Mitigación y Fechas Límite
CISA ha confirmado que esta falla ya está siendo explotada activamente en la naturaleza (in the wild). En respuesta a la gravedad de los ataques, se ha emitido una directiva formal para las agencias federales estadounidenses exigiendo que todos los sistemas afectados estén parcheados de forma obligatoria a más tardar el 23 de marzo de 2026.
Las organizaciones del sector privado deben actualizar a la versión 2024 SU5 inmediatamente. Si la aplicación del parche no es posible hoy mismo, CISA recomienda implementar las siguientes defensas tácticas:
- Bloquear permanentemente el acceso a Internet externo hacia los puertos de gestión de EPM 80 y 443.
- Aplicar listas blancas de IP (allowlisting) estrictas para garantizar que solo los hosts administrativos de confianza puedan comunicarse con el servidor.
- Monitorear minuciosamente los registros de autenticación en busca de accesos inesperados y vigilar solicitudes inusuales a la API desde direcciones externas desconocidas.
