En las últimas semanas ha vuelto a quedar en evidencia un riesgo que los especialistas en ciberseguridad llevan años advirtiendo: los controladores lógicos programables, o PLC, expuestos a Internet se han convertido en blanco directo de campañas vinculadas a Estados con capacidad informática ofensiva. Un aviso conjunto difundido por agencias federales de EE. UU. señala que grupos afines al Gobierno iraní han centrado sus esfuerzos en dispositivos Rockwell Automation/Allen‑Bradley desde marzo de 2026, provocando interrupciones operacionales y pérdidas económicas en redes de infraestructuras críticas.
El peligro no es teórico: los atacantes no solo acceden a los equipos, sino que extraen archivos de proyecto y manipulan lo que muestran los paneles HMI y los sistemas SCADA, según las investigaciones citadas por las agencias. Esta combinación —exfiltración de configuración y alteración de las interfaces de control— es particularmente inquietante porque permite tanto el reconocimiento profundo de la planta como la ejecución de cambios que pueden pasar desapercibidos para operadores confiados en lecturas falsas.
Un análisis de superficie de ataque publicado por la firma de censado de Internet Censys identificó más de 5.200 hosts que responden al protocolo EtherNet/IP y que se autodefinen como dispositivos Rockwell/Allen‑Bradley. Censys explicó que aproximadamente tres cuartos de esos equipos están físicamente en Estados Unidos y que un porcentaje significativo aparece en sistemas autónomos (ASNs) de operadores celulares, lo que sugiere despliegues en campo conectados por módems celulares.
Que muchos PLC estén accesibles desde la red pública no es casualidad: factores como configuraciones por defecto, ausencia de cortafuegos entre la red industrial y la pública, accesos remotos mal asegurados o el uso de conexiones celulares sin segmentación pueden convertir un equipo de control en una ventana abierta al interior de una planta. Además, protocolos industriales como EtherNet/IP a menudo revelan firmas y metadatos que facilitan la identificación automatizada de equipos vulnerables.
Este brote de actividad se enmarca en una tendencia mayor. En 2023 y principios de 2024 un grupo rastreado como CyberAv3ngers centró sus campañas en controladores Unitronics y logró compromisos en sistemas de agua y saneamiento en Estados Unidos; la alerta de CISA sobre ese caso documenta tácticas y recomendaciones que vuelven a ser relevantes hoy. Por otro lado, informes de empresas de seguridad han vinculado a actores como Handala con borrados masivos de dispositivos en grandes redes corporativas, mostrando la amplitud de técnicas que pueden emplear grupos con distintos objetivos.
Frente a este panorama, las medidas defensivas son claras aunque exigentes: aislar y segmentar las redes OT, evitar que PLC y HMI queden directamente accesibles desde Internet, y aplicar controles de perímetro que incluyan cortafuegos y puertas de enlace específicas para tráfico industrial. También es crítico aplicar autenticación robusta —como la verificación multifactor— para accesos remotos, mantener el firmware y los proyectos actualizados con parches oficiales del fabricante, y deshabilitar servicios y métodos de autenticación que no se usan.
La detección temprana puede marcar la diferencia: monitorizar los registros de los dispositivos y los flujos de red en busca de patrones inusuales, revisar conexiones entrantes desde proveedores de alojamiento extranjeros o ASN de operadores celulares y realizar escaneos controlados para identificar hosts expuestos deben formar parte de la operación regular de cualquier equipo responsable de infraestructura crítica. Además, cuando exista sospecha de compromiso, conviene preservar evidencias y notificar a las autoridades competentes y al propio fabricante para coordinar respuestas y mitigaciones.
Los operadores no están solos: fabricantes y organismos públicos publican guías y avisos técnicos que conviene seguir. Rockwell Automation mantiene canales de comunicación y avisos sobre seguridad en su portal de soporte; consultarlos ayuda a aplicar mitigaciones específicas para sus PLC. Para políticas y prácticas más generales sobre seguridad en sistemas de control industrial, el documento NIST SP 800‑82 ofrece un marco técnico consolidado que muchas organizaciones toman como referencia (NIST SP 800‑82).
También es recomendable revisar los análisis públicos y las notas técnicas que firmas de ciberseguridad especializadas publican sobre campañas y herramientas concretas; el informe de Censys citado antes aporta datos de exposición y tendencias de detección, y Unit42 de Palo Alto ha documentado otras operaciones atribuidas a actores iraníes que ayudan a entender tácticas, técnicas y procedimientos recurrentes.
La lección es sencilla pero urgente: en un mundo donde la conectividad remota es parte de la operación estándar, la seguridad de los dispositivos industriales no puede quedarse como responsabilidad secundaria. Proteger PLC, segmentar redes y monitorizar activamente son medidas que evitan desde paradas de producción hasta riesgos para la seguridad pública, y su implementación debería ser prioritaria para cualquier organización que gestione infraestructuras críticas.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...