La inteligencia belga pasó un año sin detectar que alguien descargaba datos de sus equipos de trabajo.
El golpe no fue contra las cajas fuertes, sino contra las pistas que normalmente se subestiman.
A veces no es un informe secreto sino un teléfono de trabajo el que delata a la inteligencia de un país, y en Bélgica fue precisamente esa capa cotidiana de trabajo de los servicios secretos la que quedó expuesta. Desde mayo de 2025 hasta la primavera de 2026, ciberdelincuentes obtuvieron acceso a datos personales de empleados del Servicio de Seguridad del Estado de Bélgica a través de un programa de un contratista externo que se encargaba de proteger sus dispositivos móviles.
Según RTBF, los atacantes explotaron vulnerabilidades en Ivanti Endpoint Manager Mobile. La inteligencia belga utilizaba ese producto para proteger los smartphones de trabajo y gestionar el acceso a los servicios internos. Durante una revisión de la infraestructura, el servicio descubrió que los atacantes habían aprovechado fallos del programa y accedido al almacenamiento de datos relacionados con la telefonía y el correo electrónico de los dispositivos profesionales.
En riesgo quedaron nombres, apellidos, números de teléfono, direcciones de correo electrónico, identificadores de dispositivos y otros datos. En la documentación de Ivanti sobre la evaluación de las consecuencias de tales vulnerabilidades también se menciona el posible acceso a la ubicación GPS del smartphone. Según fuentes de RTBF, la información sobre las personas con las que los empleados se comunicaban desde los teléfonos de trabajo también pudo verse comprometida.
Esta filtración es peligrosa no por el contenido de documentos secretos, sino porque los datos personales permiten reconstruir un mapa del servicio a partir de fragmentos. Un servicio de inteligencia extranjero o un grupo hostil podría usar números, direcciones y relaciones para comprender mejor la composición de la inteligencia belga, su estructura interna y sus contactos laborales.
Los materiales más sensibles, según fuentes de RTBF, no fueron obtenidos por los atacantes. No penetraron en la red interna de la inteligencia, donde circulan datos confidenciales y secretos. Esos datos no se transmiten por la red telefónica habitual; para ellos se usan canales protegidos. El Servicio de Seguridad del Estado de Bélgica se negó a comentar la publicación.
El origen del ataque no se ha establecido por ahora. Algunas publicaciones y empresas tecnológicas relacionaron la explotación de vulnerabilidades de Ivanti con el grupo UNC5221, que se sospecha tiene vínculos con China, pero el hackeo de la inteligencia belga no fue atribuido oficialmente a ningún actor. La Fiscalía Federal de Bélgica y el comité de control de los servicios de inteligencia tampoco hicieron comentarios.
Anteriormente, el Centro Belga de Ciberseguridad advirtió que las vulnerabilidades de Ivanti EPMM ya están siendo utilizadas por atacantes para ejecutar comandos en sistemas ajenos y extraer datos. Tras el incidente, el servicio tomó medidas, pero no reveló su naturaleza. Entre las recomendaciones generales del centro figuran instalar parches en todos los dispositivos y cambiar todas las contraseñas.