La creciente escalada de ciberataques contra infraestructuras críticas vuelve a encender las alarmas globales. Recientemente, múltiples agencias federales de FBI y otras entidades de seguridad de Estados Unidos han advertido sobre una campaña activa de actores de amenazas respaldados por el Estado iraní, dirigida específicamente contra dispositivos industriales clave: los controladores lógicos programables (PLC) de Rockwell Automation, incluyendo su línea Allen-Bradley PLC.
Un objetivo crítico: los sistemas PLC expuestos a InternetLos PLC son componentes fundamentales en entornos de tecnología operativa (OT), utilizados para automatizar procesos industriales en sectores críticos como energía, agua, manufactura y transporte. La exposición directa de estos dispositivos a Internet representa un riesgo severo, ya que facilita su detección y explotación por parte de ciberdelincuentes.
Según un informe reciente de la empresa de ciberseguridad Censys, más de 5.200 sistemas de control industrial que responden al protocolo EtherNet/IP (EIP) están actualmente accesibles desde Internet a nivel global. De estos, aproximadamente el 74,6% se encuentran en Estados Unidos, lo que equivale a 3.891 dispositivos vulnerables.
Este nivel de exposición resulta especialmente preocupante debido a que muchos de estos sistemas están desplegados en entornos remotos mediante redes celulares, lo que incrementa la superficie de ataque y dificulta su monitoreo.
Campaña activa desde marzo de 2026Las agencias estadounidenses han confirmado que, desde marzo de 2026, grupos APT (Amenazas Persistentes Avanzadas) afiliados a Irán han estado explotando estos dispositivos. Estas operaciones han derivado en interrupciones operativas, pérdidas económicas y compromisos de sistemas críticos.
De acuerdo con el FBI, los atacantes han logrado:
- Extraer archivos de proyectos de los PLC
- Manipular datos en interfaces HMI (Human Machine Interface)
- Alterar sistemas SCADA (Supervisory Control and Data Acquisition)
Este tipo de acceso permite a los atacantes no solo espiar procesos industriales, sino también sabotearlos, lo que podría derivar en consecuencias físicas graves.
Contexto geopolítico: escalada entre Irán, EE.UU. e IsraelLas autoridades advierten que el aumento de estas campañas está directamente relacionado con tensiones geopolíticas recientes entre Irán, Estados Unidos e Israel.
Este tipo de ciberoperaciones forman parte de estrategias híbridas donde los ataques digitales complementan conflictos tradicionales, afectando sectores estratégicos sin necesidad de intervención militar directa.
Antecedentes: ataques de CyberAv3ngers y UnitronicsEsta campaña no es un hecho aislado. Hace casi tres años, el grupo CyberAv3ngers, vinculado al Cuerpo de Guardianes de la Revolución Islámica, llevó a cabo ataques contra sistemas OT de la empresa Unitronics.
Entre noviembre de 2023 y enero de 2024, comprometieron al menos 75 dispositivos PLC, muchos de ellos pertenecientes a infraestructuras de agua y aguas residuales en EE.UU. Este incidente evidenció la vulnerabilidad de sistemas industriales expuestos y la falta de controles de seguridad adecuados.
Nuevas amenazas: el grupo Handala y ataques destructivosMás recientemente, el grupo hacktivista Handala, presuntamente vinculado al Ministerio de Inteligencia iraní, ejecutó un ataque devastador contra la empresa médica Stryker.
El ataque resultó en el borrado de aproximadamente 80.000 dispositivos, incluyendo:
- Equipos móviles corporativos
- Ordenadores personales gestionados
- Sistemas internos de operación
Este tipo de ataque destructivo marca una evolución preocupante en las tácticas utilizadas, pasando del espionaje al sabotaje directo.
Recomendaciones clave para proteger infraestructuras OTFrente a este panorama, los expertos en ciberseguridad recomiendan adoptar medidas urgentes para mitigar riesgos en entornos industriales:
1. Segmentar y aislar sistemas críticosEvitar la exposición directa de PLC a Internet. Implementar redes segmentadas y zonas desmilitarizadas (DMZ).
2. Uso de firewalls industrialesConfigurar cortafuegos específicos para entornos OT que filtren tráfico no autorizado.
3. Implementar autenticación multifactor (MFA)Asegurar el acceso remoto a sistemas OT mediante múltiples factores de autenticación.
4. Monitorización continuaAnalizar logs en busca de actividad sospechosa, especialmente tráfico en puertos OT desde proveedores extranjeros.
5. Actualización y parcheo constanteMantener firmware y software de PLC actualizados para evitar explotación de vulnerabilidades conocidas.
6. Desactivar servicios innecesariosReducir la superficie de ataque eliminando protocolos y métodos de autenticación no utilizados.
Una amenaza persistente y en evoluciónLos ataques dirigidos contra infraestructuras críticas mediante PLC evidencian una tendencia clara: los sistemas OT se han convertido en un objetivo prioritario para actores estatales. La combinación de exposición a Internet, configuraciones inseguras y falta de segmentación crea un entorno ideal para ciberataques de alto impacto.
Las organizaciones deben adoptar un enfoque proactivo, integrando la ciberseguridad como un componente esencial en la operación de sistemas industriales. La amenaza no solo es digital, sino también física, con potencial de afectar servicios esenciales y la seguridad nacional.
Fuente: https://www.bleepingcomputer.com/