Los atacantes ahora están apuntando activamente a una falla de máxima severidad en los appliances de **Ivanti Sentry**, lo que les permite ejecutar código con privilegios de root en gateways móviles seguros expuestos a internet. **Ivanti Sentry** es un appliance de gateway de seguridad diseñado para proteger el tráfico entre los sistemas corporativos back-end y los dispositivos móviles remotos. La vulnerabilidad, rastreada como **CVE-2026-10520**, es una debilidad de inyección de comandos del sistema operativo. **Ivanti** lanzó parches el martes en las versiones R10.5.2, R10.6.2 y R10.7.1 de Sentry. ### Observada Explotación Rápida A pesar de que **Ivanti** inicialmente declaró que no había evidencia de explotación en la naturaleza, la organización de seguridad sin fines de lucro **Shadowserver** informó al día siguiente que los atacantes ya habían instalado backdoors en un número significativo de gateways Sentry expuestos en línea. **Shadowserver** advirtió: "Estamos observando una gran cantidad de intentos de explotación de **Ivanti Sentry CVE-2026-10520** basados en el PoC público de hoy. Vemos 19 instancias vulnerables en nuestros propios escaneos, con al menos 2 con backdoors (¡gracias a Saudi NCA por el aviso!). Sin embargo, es probable que todas las restantes también estén comprometidas." La organización también señaló que, si bien sus escaneos detectaron un número limitado de instancias Sentry expuestas, es probable que haya más vulnerables debido a que su motor de búsqueda está en una lista de bloqueo. "Si no ha parcheado ahora, lo más probable es que ya esté comprometido", advirtió **Shadowserver**.  ### Respuesta de Ivanti y Preocupaciones Más Amplias **Ivanti** aún no ha actualizado su aviso de seguridad emitido el martes, que todavía afirma: "No tenemos conocimiento de que ningún cliente esté siendo explotado por estas vulnerabilidades en el momento de la divulgación." Este incidente resalta un patrón recurrente. Los hackers frecuentemente atacan las fallas de seguridad de **Ivanti** porque proporcionan un punto de entrada crítico a las redes empresariales, facilitando el robo de datos sensibles. En los últimos años, se han explotado múltiples zero-days de **Ivanti** para violar varios objetivos, incluidas agencias gubernamentales en todo el mundo. Ejemplos incluyen vulnerabilidades críticas en **Endpoint Manager Mobile (EPMM)** abordadas en enero después de ser explotadas como zero-days contra un "número muy limitado de clientes". El mes pasado, la **Agencia de Ciberseguridad e Infraestructura (CISA)** ordenó a las agencias federales de EE. UU. parchear los sistemas de **Ivanti** después de que la compañía advirtiera sobre una falla de ejecución remota de código de alta severidad en **EPMM** que también fue abusada en ataques zero-day. **CISA** ha marcado 34 vulnerabilidades en varios productos de **Ivanti** como activamente explotadas en la naturaleza, con 12 de ellas también atacadas en campañas de ransomware. **Ivanti** cuenta con una red de más de 7,000 socios y 3,000 empleados, y sus soluciones de gestión de activos de TI son utilizadas por más de 40,000 clientes a nivel mundial.