Sala de servidores de un sistema de control industrial, representando la infraestructura crítica vulnerable.

Casi 4.000 dispositivos industriales en EE.UU. expuestos a ciberataques iraníes

por

¿Qué es ciberataques iraníes a infraestructura crítica y por qué es relevante?

Puntos clave

ciberataques iraníes a infraestructura crítica: 🔍 Anticipa las amenazas antes de que lleguen a tu organización. En Iberia Intelligence aplicamos ciberinteligencia avanzada: seguimiento de actores de amenaza, análisis de TTPs, alertas tempranas y vigilancia en fuentes abiertas y cerradas adaptada a tu sector y geografía.

  • Casi 4.000 dispositivos industriales de Rockwell Automation en EE.UU. están expuestos en Internet y son objetivo de grupos hackers vinculados a Irán.
  • Las agencias federales estadounidenses han emitido una alerta conjunta tras detectar campañas de APT iraníes que extraen archivos de proyecto y manipulan datos en sistemas HMI y SCADA.
  • A nivel global, más de 5.200 sistemas de control industrial Rockwell están expuestos, siendo EE.UU. el país más afectado con un 74,6% de los casos.
  • Los administradores deben aislar los PLCs de Internet, implementar autenticación multifactor y mantener los dispositivos actualizados de manera urgente.
  • Esta ofensiva sigue una línea de ataques previos de grupos como CyberAv3ngers y Handala contra infraestructuras críticas en suelo estadounidense.

Casi 4.000 dispositivos industriales en Estados Unidos, principalmente controladores lógicos programables (PLCs) de Rockwell Automation, están expuestos a ciberataques iraníes a infraestructura crítica, según una alerta conjunta emitida por el FBI, CISA y otras agencias federales el pasado martes. Los grupos de amenazas persistentes avanzadas (APT) respaldados por el estado iraní llevan activos desde marzo de 2026, causando interrupciones operativas y pérdidas económicas mediante la extracción de archivos de proyecto y la manipulación de datos en interfaces hombre-máquina (HMI) y sistemas SCADA.

El alcance del ataque contra los PLCs de Rockwell Automation

Según el análisis de la firma de ciberseguridad Censys, a nivel global existen más de 5.200 sistemas de control industrial Rockwell Automation/Allen-Bradley accesibles a través de Internet mediante el protocolo EtherNet/IP (EIP). De este total, una cifra desproporcionada, 3.891 dispositivos, se localizan en Estados Unidos, lo que representa el 74,6% de la exposición global. Un dato preocupante es que una parte significativa de estos equipos opera a través de redes de operadores móviles, lo que indica que son dispositivos desplegados en campo con conectividad celular, a menudo en ubicaciones remotas de infraestructuras críticas. ciberataques iraníes a infraestructura crítica es clave para entender el alcance de esta amenaza.

Controlador Lógico Programable (PLC) de Rockwell Automation en un entorno de fábrica.
Controlador Lógico Programable (PLC) de Rockwell Automation en un entorno de fábrica. — Foto: Homa Appliances vía Unsplash

Una exposición desproporcionada en infraestructuras estadounidenses

La concentración de dispositivos expuestos en EE.UU. convierte al país en el principal objetivo de esta campaña. Fuentes del sector apuntan que muchos de estos PLCs controlan procesos en sectores vitales como el agua, la energía o la manufactura. La conectividad directa a Internet, sin la protección de un cortafuegos o una segmentación de red adecuada, facilita enormemente el trabajo de los atacantes, que pueden escanear y localizar estos activos de forma automatizada.

Cortafuegos y hardware de seguridad de red, ilustrando la primera línea de defensa recomendada.
Cortafuegos y hardware de seguridad de red, ilustrando la primera línea de defensa recomendada. — Foto: Steve Johnson vía Unsplash

Medidas de mitigación urgentes para proteger los sistemas OT

La alerta conjunta es clara en sus recomendaciones para los responsables de redes OT (Tecnología Operacional). La primera y más crítica acción es desconectar inmediatamente los PLCs de Internet. Si la conectividad remota es absolutamente necesaria, debe establecerse a través de una VPN robusta y detrás de un cortafuegos configurado de forma restrictiva. Además, se debe implementar la autenticación multifactor (MFA) para cualquier acceso a las redes OT, una práctica aún no extendida en muchos entornos industriales por su complejidad operativa.

Los administradores también deben priorizar la aplicación de parches de seguridad y actualizaciones de firmware en todos los dispositivos PLC, deshabilitar todos los servicios y protocolos de red que no se utilicen, y revisar de forma exhaustiva los registros de red (logs) en busca de actividad maliciosa. Un indicador clave de compromiso es el tráfico sospechoso dirigido a puertos OT que se origine en proveedores de hosting ubicados en el extranjero, especialmente en regiones vinculadas a estas campañas.

La monitorización continua como línea de defensa esencial

Más allá de las medidas puntuales, los analistas subrayan la necesidad de una monitorización continua y una inteligencia de amenazas específica para el entorno OT. La detección de anomalías en el comportamiento de los PLCs, como cambios no autorizados en la lógica de control o accesos en horarios inusuales, puede ser la diferencia entre contener un incidente y sufrir una parada catastrófica de la operación.

Antecedentes de la ofensiva cibernética iraní contra infraestructuras

La campaña actual no es un hecho aislado, sino la continuación de una estrategia de presión y retaliación cibernética por parte de actores iraníes. A finales de 2023, el grupo CyberAv3ngers, vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), comprometió al menos 75 PLCs de la marca Unitronics en sistemas de agua y aguas residuales de EE.UU. Los atacantes manipulaban las interfaces para mostrar mensajes políticos contra Israel.

De forma más reciente, en 2026, el grupo hacktista Handala, asociado al Ministerio de Inteligencia y Seguridad de Irán, reivindicó el borrado de datos en aproximadamente 80.000 dispositivos de la red de la multinacional médica Stryker. Estos incidentes, unidos a la actividad actual, dibujan un patrón claro: los actores iraníes están priorizando los ataques contra infraestructuras críticas y empresas estratégicas estadounidenses como medio de proyección de poder y respuesta a tensiones geopolíticas. Tal y como advirtieron las agencias en su comunicado, «las campañas de targeting de APT afiliadas a Irán contra organizaciones estadounidenses se han intensificado recientemente, probablemente en respuesta a las hostilidades entre Irán, Estados Unidos e Israel».

Silueta de un hacker con bandera de Irán, representando la amenaza de los grupos APT patrocinados por el estado.
Silueta de un hacker con bandera de Irán, representando la amenaza de los grupos APT patrocinados por el estado. — Foto: Javad Esmaeili vía Unsplash

La persistencia y evolución de estas amenazas exigen un cambio de mentalidad en la protección de los entornos industriales. Ya no basta con confiar en el aislamiento físico (air-gap), a menudo inexistente en la práctica. La convergencia entre IT y OT es una realidad, y la seguridad debe construirse sobre una arquitectura de confianza cero (Zero Trust), una segmentación de red estricta y una visibilidad total del tráfico y los activos. La exposición de miles de dispositivos críticos es un fallo de seguridad sistémico que los adversarios están explotando con consecuencias potencialmente graves.

Artículos relacionados

Recursos y fuentes oficiales:

Convierte la inteligencia de amenazas en ventaja estratégica

Nuestro equipo en Iberia Intelligence ofrece servicios de Ciberinteligencia para empresas e instituciones: monitorización de actores, perfiles de adversarios, alertas personalizadas e informes ejecutivos accionables.

→ Solicita información sin compromiso

Deja un comentario