Tres alertas tipo zero-day en una mañana: ServiceNow, Ivanti Sentry y protobuf.js bajo asedio—¿quién sigue?

ServiceNow informó que actores de amenazas desconocidos explotaron una vulnerabilidad para obtener un acceso no autorizado más profundo a instancias alojadas de clientes, y vinculó el incidente con una actualización de seguridad aplicada el 5 de junio de 2026. El aviso indica que solo las “instancias susceptibles” estaban en riesgo, lo que sugiere que los atacantes probablemente seleccionaron objetivos según su exposición y el estado de parchado. En paralelo, Ivanti anunció parches para dos fallas críticas en su solución Sentry secure mobile gateway, incluida una vulnerabilidad de severidad máxima que permite a atacantes remotos ejecutar código con privilegios de root. Por separado, investigadores reportaron seis vulnerabilidades en protobuf.js, una librería ampliamente usada de Protocol Buffers en JavaScript/TypeScript, advirtiendo que una explotación exitosa podría habilitar ejecución remota de código y condiciones de denegación de servicio en aplicaciones Node.js afectadas. En conjunto, este grupo apunta a una campaña sostenida de presión contra cadenas de suministro de software empresarial y a infraestructura de acceso remoto, más que a fallos aislados. ServiceNow e Ivanti están cerca de los flujos de trabajo empresariales y de la conectividad remota, por lo que una intrusión puede traducirse rápidamente en robo de credenciales, movimiento lateral y persistencia dentro de sistemas de negocio. Los hallazgos de protobuf.js importan porque pueden explotarse a escala mediante dependencias comunes, convirtiendo el desarrollo rutinario de aplicaciones en una superficie de ataque. En este contexto, los defensores enfrentan una carrera entre el despliegue de parches y el tiempo de permanencia del atacante, mientras que los actores maliciosos se benefician de la visibilidad fragmentada entre entornos de clientes e integraciones de terceros. Las implicaciones de mercado y económicas se observan sobre todo en el gasto en ciberseguridad, la demanda de respuesta a incidentes y la prima de riesgo para software empresarial y servicios gestionados. Aunque no son eventos cinéticos, sí pueden alterar expectativas sobre la postura de seguridad de los proveedores y elevar costos a corto plazo por parchado, auditoría y monitoreo—especialmente para empresas que ejecutan instancias de ServiceNow, gateways de Ivanti Sentry y stacks Node.js que usan protobuf.js. Los efectos más directos a nivel de instrumentos probablemente se reflejen en el precio del seguro cibernético, en la actividad de contratos de MSSP/IR y, potencialmente, en la sensibilidad de valoración de los proveedores de software ante incidentes de seguridad. En el corto plazo, la dirección es de aversión al riesgo para entornos sin parchar y un giro hacia compañías con ciclos de remediación más rápidos, mejor gobernanza de SBOM/dependencias y gestión madura de vulnerabilidades. Los próximos puntos a vigilar son concretos: si el aviso de ServiceNow se amplía con indicadores de compromiso, si Ivanti reporta intentos de explotación activa y qué tan rápido los mantenedores de protobuf.js y los frameworks aguas abajo empujan mitigaciones. Las organizaciones deben seguir la disponibilidad de parches y los cronogramas de despliegue para la actualización de ServiceNow del 5 de junio, la corrección de ejecución a nivel root en Ivanti Sentry y los lanzamientos de vulnerabilidades de protobuf.js o las rutas de actualización recomendadas. Los disparadores incluyen evidencia de explotación en el mundo real, nuevos avisos que referencien las mismas versiones afectadas y cualquier aumento observado de escaneo o intentos de explotación contra gateways remotos y servicios Node.js. En los próximos días, el riesgo de escalada dependerá del comportamiento posterior del atacante—si se confirma que múltiples vectores están siendo explotados activamente, la capacidad de respuesta a incidentes y los presupuestos de seguridad podrían ajustarse con rapidez en todo el sector empresarial.

Implicaciones Geopolíticas

• 01

  La intrusión en plataformas empresariales ampliamente usadas puede generar ventaja estratégica para actores maliciosos en múltiples sectores.

• 02

  Las fallas a nivel de dependencias elevan el riesgo cibernético sistémico y pueden impulsar endurecimiento regulatorio y de compras.

• 03

  La confirmación de explotación activa probablemente acelere mandatos gubernamentales y de ciberseguridad en infraestructuras críticas.

Señales Clave

• —Avisos de seguimiento de ServiceNow con IOCs y versiones afectadas.
• —Declaraciones de Ivanti sobre si la falla de Sentry con RCE a nivel root está siendo explotada activamente.
• —Lanzamientos corregidos de protobuf.js y guías de mitigación para frameworks aguas abajo.
• —Patrones de tráfico que indiquen aumento de escaneo/intentos de explotación contra gateways remotos y servicios Node.js.