Las agencias de seguridad estadounidenses emitieron un llamado urgente: un grupo de actores vinculados a Irán está apuntando a controladores lógicos programables (PLCs) de Rockwell/Allen‑Bradley accesibles desde Internet dentro de redes de infraestructura crítica en Estados Unidos. La advertencia, firmada de manera conjunta por el FBI, CISA, la NSA, la EPA, el Departamento de Energía y el United States Cyber Command – Cyber National Mission Force, describe una campaña activa que, según esas agencias, ha provocado pérdidas económicas y alteraciones operativas desde marzo de 2026. Puedes leer el documento oficial en el aviso compartido por el IC3 aquí.
Para entender la gravedad del asunto conviene recordar qué son esos dispositivos: los PLC son la columna vertebral de muchos procesos industriales y de servicios públicos, ya que orquestan bombas, válvulas, motores y mediciones que mantienen en marcha plantas de agua, redes energéticas y edificios gubernamentales. Cuando un PLC queda expuesto directamente a Internet pierde la protección del perímetro y se convierte en un blanco accesible para atacantes que buscan manipular la lógica de control o la información que muestran los paneles HMI y SCADA.
El aviso conjunto apunta a múltiples sectores de infraestructura crítica, entre ellos servicios gubernamentales, sistemas de agua y aguas residuales y energía, y detalla tácticas concretas: extracción de archivos de proyecto de los propios dispositivos y alteración de las pantallas HMI/SCADA para mostrar valores falsos o esconder incidentes. Ese tipo de manipulación no solo causa pérdidas económicas por interrupciones, sino que puede poner en riesgo la seguridad pública si las operaciones críticas son desviadas o paralizadas.
No se trata de una amenaza nueva en el ecosistema OT: ya en noviembre de 2023 CISA alertó sobre actividades de un grupo denominado CyberAv3ngers, vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), que explotó sistemas Unitronics y comprometió decenas de PLCs en redes estadounidenses según la propia CISA. Ese precedente muestra que los actores con recursos estatales o afiliados a estados pueden mantener campañas persistentes y específicas contra tecnología de control industrial.
Ante ese panorama, las agencias responsables han enfatizado medidas prácticas para reducir la superficie de ataque. Entre las recomendaciones figura aislar los PLC de accesos directos desde Internet o protegerlos con firewalls adecuados, revisar registros y buscar indicadores de compromiso que las agencias han compartido, y vigilar tráfico anómalo hacia puertos típicos de OT, sobre todo si el origen es de proveedores de hosting en el extranjero. También se aconseja implementar autenticación multifactor para el acceso a las redes OT, actualizar firmware y desactivar servicios y credenciales por defecto que no se utilicen. Son medidas de sentido común en ciberseguridad industrial: menos exposición, autenticación más fuerte, parches al día y monitoreo continuo. CISA mantiene recursos y guías para asegurar entornos de control industrial que pueden consultarse en su portal sobre sistemas de control industrial aquí.
La advertencia llega en un contexto geopolítico tenso: las agencias atribuyen la intensificación de estas campañas a actores afines a Irán y la relacionan con escaladas en hostilidades entre Irán y Estados Unidos o Israel. Además, el aviso recuerda episodios recientes de impacto público, como operaciones de grupos hacktivistas y reportes de uso de plataformas de mensajería para distribuir malware, lo que subraya que la amenaza combina capacidades técnicas con motivaciones políticas y campañas de desinformación o vandalismo.
Para operadores y responsables de seguridad en empresas que gestionan activos de OT, la clave es actuar rápido y con prioridades claras. Primero, identificar qué PLCs están expuestos y cortar ese acceso directo si no es estrictamente necesario. Luego, aplicar controles de perímetro, segmentar la red para que un componente comprometido no permita moverse lateralmente hacia sistemas críticos, y revisar los proyectos almacenados en los dispositivos por si han sido extraídos o alterados. Finalmente, establecer monitoreo que detecte cambios en las pantallas HMI/SCADA y patrones de tráfico inusuales que puedan indicar manipulación.
Por su parte, los fabricantes y proveedores de soluciones de control deben publicar avisos de seguridad, parches y buenas prácticas específicas para sus productos; Rockwell Automation, por ejemplo, dispone de un espacio con avisos y recomendaciones de seguridad de producto que los responsables pueden consultar para aplicar actualizaciones y mitigaciones recomendadas en su portal de seguridad.
En definitiva, la combinación de actores persistentes, dispositivos industriales expuestos y la posibilidad de alterar información operacional convierte esta campaña en una llamada de atención: la ciberseguridad industrial no es un asunto teórico sino una cuestión de continuidad operativa y seguridad pública. Quienes gestionan infraestructuras críticas deben priorizar la reducción de exposición, la aplicación de controles de acceso robustos, el parcheo y la vigilancia constante, y apoyarse en las guías oficiales para responder con rapidez ante cualquier indicio de intrusión.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...