CERT-EU avisa de vulnerabilidades críticas en Ivanti Sentry: qué revisar sin entrar en pánico

Imagen ilustrativa sobre CERT-EU avisa de vulnerabilidades críticas en Ivanti Sentry: qué revisar sin entrar en pánico

Fuente original: CERT-EU Security Advisory 2026-008.

CERT-EU ha publicado el aviso Security Advisory 2026-008 sobre vulnerabilidades críticas en Ivanti Sentry. Los identificadores citados son CVE-2026-10520 y CVE-2026-10523. La idea práctica no es crear alarma, sino saber qué comprobar si tu empresa usa Ivanti Sentry o si depende de un proveedor que lo mantiene.

El punto importante es este: muchas pymes no saben qué productos concretos usan sus proveedores de seguridad, red, movilidad o acceso remoto. Por eso no basta con pensar que el nombre no te suena. Si hay infraestructura gestionada por terceros, conviene preguntar con precisión.

Qué ha comunicado CERT-EU

El aviso de CERT-EU trata vulnerabilidades críticas en Ivanti Sentry. En la revisión previa se verificó que el aviso corresponde a Security Advisory 2026-008, que fue publicado el 10 de junio de 2026, y que remite al aviso de Ivanti del 9 de junio de 2026.

Las versiones señaladas como afectadas son 10.5.1 y anteriores, 10.6.1 y anteriores y 10.7.0 y anteriores. El impacto descrito es serio: ejecución remota de código sin autenticación con privilegios elevados y un bypass de autenticación que podría facilitar acciones administrativas indebidas.

Dicho claro: si una instalación afectada está expuesta y sin corregir, no es un asunto para dejar en una lista de tareas sin dueño. Hay que confirmar versión, exposición, corrección aplicada y revisión posterior.

A quién le afecta de verdad

Imagen adicional sobre CERT-EU avisa de vulnerabilidades críticas en Ivanti Sentry: qué revisar sin entrar en pánico

Este aviso afecta sobre todo a organizaciones que usan Ivanti Sentry directamente, a proveedores que administran entornos de clientes y a empresas que tienen servicios de movilidad, acceso remoto o pasarelas de seguridad gestionadas por terceros.

También afecta a responsables no técnicos que tienen que pedir explicaciones. No hace falta saber parchear el producto para hacer las preguntas correctas: si se usa, qué versión hay instalada, si está expuesto, si ya se ha aplicado la corrección recomendada y si queda alguna medida temporal pendiente.

Qué revisar primero

  • Confirmar si Ivanti Sentry se usa en la organización o en algún servicio gestionado por un proveedor.
  • Identificar la versión instalada y compararla con las ramas afectadas: 10.5.1 y anteriores, 10.6.1 y anteriores, 10.7.0 y anteriores.
  • Revisar si el servicio está expuesto a Internet o limitado a redes internas y controladas.
  • Aplicar la actualización o mitigación indicada por Ivanti y recogida por CERT-EU.
  • Revisar registros de acceso, cuentas administrativas y cambios recientes que no tengan una explicación clara.
  • Documentar quién ha comprobado el estado, cuándo lo ha hecho y qué evidencia queda.

Qué preguntar al proveedor

Si tu empresa no administra directamente Ivanti Sentry, la pregunta no debe ser genérica. No vale con un todo está controlado. Hay que pedir una respuesta concreta, fechada y fácil de comprobar.

PreguntaPor qué importaRespuesta mínima aceptable
¿Usamos Ivanti Sentry directa o indirectamente?Evita asumir que no afectaSí o no, y dónde se usa
¿Qué versión está instalada?Permite contrastar con las versiones afectadasVersión exacta y entorno
¿Está expuesto a Internet?La exposición cambia la urgenciaAlcance de red y controles aplicados
¿Se ha aplicado la corrección?Es la medida centralFecha, versión final y responsable
¿Se han revisado logs y cuentas?Reduce el riesgo de dejar señales sin comprobarResumen de revisión y hallazgos

Errores frecuentes

Dar por hecho que no afecta porque el nombre no te suena

Muchas empresas usan tecnología que no conocen por nombre porque la gestiona un proveedor. Si tienes servicios de acceso, movilidad, seguridad perimetral o administración externalizada, conviene preguntar.

Confundir aviso con incidente confirmado

Un advisory no significa necesariamente que tu empresa haya sido comprometida. Significa que existe un riesgo técnico que debe revisarse. La respuesta sensata es comprobar, actualizar y dejar trazabilidad.

Actualizar sin revisar después

Parchear es necesario, pero no siempre suficiente. En vulnerabilidades críticas conviene revisar logs, accesos administrativos y cambios recientes, sobre todo si el servicio estaba expuesto.

No pedir evidencias al proveedor

Una respuesta verbal no sirve para cerrar una revisión seria. Pide versión corregida, fecha de aplicación, responsable y una explicación breve de las comprobaciones realizadas.

Consejos rápidos

  • No esperes a que el proveedor te escriba: pregunta tú.
  • Pide versión exacta, no una respuesta genérica.
  • Da prioridad si el servicio está expuesto a Internet.
  • Revisa cuentas administrativas y accesos recientes.
  • Guarda la respuesta del proveedor junto con la fecha.
  • No compartas detalles internos de tu infraestructura en canales abiertos.

Siguiente paso recomendado

Abre una revisión corta y con dueño: confirmar si Ivanti Sentry existe en tu entorno, verificar versión, aplicar la guía del fabricante si procede y pedir evidencia al proveedor. Si no lo usas, deja constancia. Si lo usas, la respuesta correcta no es discutir la gravedad del titular, sino cerrar la comprobación con datos.

Revisado por
Contenido verificado con criterios de experiencia, autoridad y fiabilidad (E-E-A-T).
Uso responsable de IA
Este artículo puede haber usado herramientas de inteligencia artificial como apoyo para estructura, edición, traducción o revisión. La responsabilidad editorial y la revisión final son de Toni Berraquero. Ver politica de IA
Foto de Toni
Autor del artículo
Toni Berraquero

Toni Berraquero entrena desde los 12 años y tiene experiencia en retail, seguridad privada, ecommerce, marketing digital, marketplaces, automatización y herramientas empresariales.

Ver perfil de Toni

☕ Si esto te ha servido de verdad…

Puedes apoyar el proyecto o compartir este artículo con un clic. Aquí al menos hay una salida útil de verdad.