Los ataques iraníes a tecnología operacional se han intensificado en 2026, según una alerta conjunta del FBI, el Pentágono, la NSA y otras agencias federales estadounidenses. Estos ciberataques, dirigidos a dispositivos OT conectados a internet, ya han causado disrupciones operativas y pérdidas financieras en múltiples sectores de infraestructura crítica. Analizamos la campaña, sus implicaciones y las medidas de mitigación urgentes.
Puntos clave
- Grupos de amenazas afiliados a Irán están atacando activamente controladores lógicos programables (PLC) y otros dispositivos OT expuestos a internet.
- Los sectores del agua, energía y gobiernos municipales están entre los más afectados, con casos confirmados en Dakota del Norte e Indiana.
- Se explota la vulnerabilidad CVE-2021-22681 en productos de Rockwell Automation, para la que CISA emitió una orden de parcheo obligatorio.
- Las agencias recomiendan urgentemente retirar los sistemas OT del acceso directo a internet y monitorizar el tráfico de red.
- Esta campaña guarda similitudes con ataques anteriores del Cuerpo de la Guardia Revolucionaria Islámica de Irán contra infraestructura israelí y estadounidense.
Qué son los ataques iraníes a tecnología operacional y por qué son peligrosos
🔍 Anticipa las amenazas antes de que lleguen a tu organización. En Iberia Intelligence aplicamos ciberinteligencia avanzada: seguimiento de actores de amenaza, análisis de TTPs, alertas tempranas y vigilancia en fuentes abiertas y cerradas adaptada a tu sector y geografía.
La tecnología operacional (OT) engloba los sistemas hardware y software que monitorizan y controlan procesos físicos en entornos industriales, como plantas de tratamiento de agua, redes eléctricas o fábricas. A diferencia de la tecnología de la información (IT), un compromiso en estos sistemas puede tener consecuencias directas en el mundo físico: desde la interrupción del suministro de agua potable hasta daños en maquinaria crítica. Los ataques iraníes a tecnología operacional detectados desde marzo de 2026 se centran en manipular los archivos de proyecto y alterar los datos mostrados en interfaces humano-máquina (HMI) y sistemas SCADA. El objetivo no es solo el robo de datos, sino causar disrupción operativa tangible.
Sectores críticos en el punto de mira de los ciberataques iraníes
Según la alerta, los actores iraníes están seleccionando como blanco a gobiernos municipales locales, sistemas de agua y aguas residuales, y el sector energético. Un ejemplo reciente es el ataque a una planta de tratamiento de agua en Minot, Dakota del Norte, inicialmente reportado como un incidente de ransomware pero que, según fuentes locales, careció de una demanda de rescate explícita. En paralelo, el FBI investiga otro incidente separado en un gobierno condal de Indiana. Estos casos subrayan la táctica de buscar puntos débiles en infraestructuras esenciales, a menudo con defensas cibernéticas limitadas.
Cómo funcionan estos ataques y las vulnerabilidades explotadas
Los hackers afiliados a Irán están aprovechando que muchos dispositivos OT, como los PLCs de Rockwell Automation/Allen-Bradley o Siemens, están conectados directamente a internet sin la debida segmentación de red. Esto les permite interactuar maliciosamente con los controladores. La alerta destaca específicamente la explotación de CVE-2021-22681, una vulnerabilidad crítica en productos OT de Rockwell que permite a un atacante remoto ejecutar código arbitrario. CISA había alertado sobre su explotación activa un mes antes y ordenó a todas las agencias federales parchearla antes del 26 de marzo de 2026.
La vulnerabilidad CVE-2021-22681 y la urgencia del parcheo
CVE-2021-22681 es un fallo que afecta a las versiones vulnerables de los productos de Rockwell Automation. Su explotación permite a un atacante no autenticado enviar paquetes maliciosos a un dispositivo OT y tomar el control del mismo. A pesar de que el parche está disponible desde hace tiempo, la lentitud en la actualización de estos sistemas –a menudo en funcionamiento continuo– ha dejado una ventana de oportunidad abierta para grupos APT. Desde nuestro análisis, la persistencia de esta vulnerabilidad en infraestructuras críticas es un claro indicador de los desafíos en la gestión de la seguridad OT.
Recomendaciones del FBI y el Pentágono para proteger la tecnología operacional
Las agencias federales emiten una serie de contramedidas prioritarias. La principal es retirar inmediatamente todos los dispositivos OT (PLCs, HMIs) de la exposición directa a internet. Si la conectividad remota es imprescindible, debe implementarse a través de una VPN robusta con autenticación multifactor y acceso restringido por lista blanca. Además, se insta a las organizaciones a revisar exhaustivamente los registros de red (logs) en busca de tráfico sospechoso hacia puertos comunes de OT (como el 44818/TCP para EtherNet/IP) y a aplicar todos los parches de seguridad disponibles para los fabricantes afectados.
Contexto histórico: la campaña iraní de 2023 contra sistemas Unitronics
Esta ofensiva no es un hecho aislado. Los analistas la comparan con una campaña entre 2023 y 2024 donde hackers vinculados al IRGC atacaron PLCs de la empresa israelí Unitronics. En aquella ocasión, se comprometieron al menos 75 dispositivos. Aunque muchos de aquellos incidentes fueron desfiguraciones (defacements), las autoridades advirtieron entonces que el acceso podía usarse como puerta de entrada para causar daños físicos. Rob Lee, CEO de Dragos, confirmó en febrero de 2026 que el mismo grupo ha mantenido su foco en utilities energéticas, petróleo y gas, ferrocarriles y el sector hídrico, mostrando una comprensión cada vez más profunda de los procesos de control.
Impacto en la ciberseguridad nacional y las consecuencias geopolíticas
La escalada de los ataques iraníes a tecnología operacional coincide con un periodo de tensión militar entre Estados Unidos, Israel e Irán, iniciado a finales de febrero de 2026. Este conflicto cinético tiene un claro reflejo en el ciberespacio, con ataques a una empresa de dispositivos médicos que vio borrados 200.000 equipos, entre otros incidentes no publicados. El Departamento de Estado ofreció recompensas de 10 millones de dólares por información sobre seis oficiales iraníes presuntamente ligados a los ataques de 2023, incluyendo al jefe del Comando Ciber-Electrónico de la IRGC. Esta respuesta judicial y diplomática subraya la gravedad con la que Washington percibe la amenaza.
Desde Iberia Intel, observamos que la convergencia entre IT y OT amplía la superficie de ataque de manera crítica. La sofisticación de los actores iraníes, aunque aún lejos de la de potencias como Rusia o China, está creciendo en un sector –el OT– tradicionalmente desatendido. La recomendación final es clara: las organizaciones con infraestructura operacional deben priorizar su inventario, segmentación y monitorización continua, asumiendo que son un objetivo de alto valor en la geopolítica del ciberespacio.
Recursos y fuentes oficiales:
Convierte la inteligencia de amenazas en ventaja estratégica
Nuestro equipo en Iberia Intelligence ofrece servicios de Ciberinteligencia para empresas e instituciones: monitorización de actores, perfiles de adversarios, alertas personalizadas e informes ejecutivos accionables.