La vulnerabilidad de las aplicaciones frente a la infraestructura de hosting
La eficacia de un servicio de hosting está intrínsecamente ligada a la calidad de la aplicación que se ejecuta en él. Cuando un sitio web presenta una vulnerabilidad, el proveedor de hosting no tiene la capacidad de detener la explotación de dicha falla.
Riesgos del “bulletproof hosting” y la seguridad corporativa
En el ámbito de la ciberseguridad, el uso de infraestructuras de hosting “blindado” (bulletproof hosting) representa un riesgo crítico. El Centro de Seguridad y Infraestructura (CISA) y el Centro Nacional de Ciberseguridad del Reino Unido han destacado la necesidad de mitigar los riesgos provenientes de estos proveedores en directrices publicadas el 19 de noviembre de 2025.
Un ejemplo reciente de esta amenaza es la actividad detectada contra Ivanti Endpoint Manager Mobile (EPMM). Según la firma de inteligencia GreyNoise, una parte significativa de los intentos de explotación de una falla de seguridad recién revelada en este software ha sido rastreada hasta una única dirección IP alojada en la infraestructura de bulletproof hosting de PROSPERO.
Entre el 1 y el 9 de febrero de 2026, se registraron 417 sesiones de explotación provenientes de ocho direcciones IP únicas. De estas, se estima que 346 sesiones —lo que representa el 83% de todos los intentos— se originaron desde la IP 193.24.123[.]42.
Análisis de las vulnerabilidades y objetivos
La actividad maliciosa se diseñó para explotar la vulnerabilidad CVE-2026-1281, que cuenta con una puntuación CVSS de 9.8, una de las dos fallas críticas en EPMM. Asimismo, se identificó la explotación de la CVE-2026-1340, la cual podría permitir a un atacante lograr la ejecución remota de código sin autenticación.
Ivanti ha reconocido que un número limitado de clientes fueron impactados tras la explotación de estos problemas de día cero. Diversas agencias europeas han confirmado haber sido blanco de actores de amenazas desconocidos, incluyendo:
- La Autoridad de Protección de Datos de los Países Bajos (AP).
- El Consejo de la Judicatura.
- La Comisión Europea.
- Valtori, de Finlandia.
El análisis técnico revela que el mismo host explotó simultáneamente tres vulnerabilidades adicionales en software no relacionado: CVE-2026-21962 (Oracle WebLogic) con 2,902 sesiones, CVE-2026-24061 (GNU InetUtils telnetd) con 497 sesiones y CVE-2025-24799 (GLPI) con 200 sesiones.
GreyNoise señaló que la IP rotó a través de más de 300 cadenas de agentes de usuario únicos, abarcando navegadores como Chrome, Firefox y Safari, así como múltiples variantes de sistemas operativos. Esta diversidad de huellas, sumada a la explotación concurrente de cuatro productos de software distintos, es consistente con el uso de herramientas automatizadas.
