Sala de control industrial vulnerable, representando la exposición de sistemas OT a internet.

Dispositivos Rockwell PLC expuestos a APTs iraníes: análisis de riesgo y guía de mitigación

por

La empresa de ciberinteligencia Censys ha detectado 5.219 dispositivos Rockwell PLC expuestos directamente a internet, siendo el 74,6% de ellos ubicados en Estados Unidos, según su último informe. Estos controladores lógicos programables, pilares de la automatización industrial, son objetivo activo de grupos de amenazas persistentes avanzadas (APTs) vinculados a Irán, que buscan causar disrupciones en infraestructuras críticas como el agua, la energía y servicios gubernamentales.

¿Qué es dispositivos Rockwell PLC expuestos y por qué es relevante?

Puntos clave

🔍 Anticipa las amenazas antes de que lleguen a tu organización. En Iberia Intelligence aplicamos ciberinteligencia avanzada: seguimiento de actores de amenaza, análisis de TTPs, alertas tempranas y vigilancia en fuentes abiertas y cerradas adaptada a tu sector y geografía.

  • Se han identificado 5.219 hosts expuestos globalmente que responden al protocolo EtherNet/IP (puerto 44818) y se autodenominan dispositivos Rockwell Automation/Allen-Bradley.
  • La distribución geográfica está extremadamente sesgada hacia EE.UU., que concentra el 74,6% de los dispositivos visibles, seguido de España, Taiwán e Italia.
  • Una parte significativa de estos sistemas están desplegados en campo y se conectan mediante redes celulares (operadores como Verizon, AT&T) o incluso enlaces satélite como Starlink, complicando su monitorización y parcheo.
  • Los actores de amenazas iraníes, asociados a grupos como CyberAv3ngers (vinculado al Cuerpo de la Guardia Revolucionaria Islámica), están explotando esta exposición para manipular archivos de proyecto y alterar datos en sistemas HMI y SCADA.
  • Además de EtherNet/IP, muchos dispositivos ejecutan servicios adicionales como VNC, Telnet o Modbus, ampliando de forma crítica la superficie de ataque.

Exposición global de dispositivos Rockwell PLC: datos y distribución

El análisis de Censys, realizado a raíz de la alerta conjunta emitida por el FBI, la CISA y la NSA el 7 de abril de 2026, revela una situación de riesgo elevado. La capacidad de identificar remotamente el modelo y la versión de firmware de un PLC sin necesidad de autenticación facilita enormemente el trabajo de los atacantes, permitiéndoles escanear, priorizar y seleccionar sistemas vulnerables de forma masiva. Los modelos más expuestos pertenecen a las familias MicroLogix 1400 y CompactLogix, muchos ejecutando firmware obsoleto.

Concentración geográfica y dependencia de redes celulares

La abrumadora mayoría de los dispositivos industriales expuestos se encuentra en territorio estadounidense, algo esperable dada la posición dominante de Rockwell Automation en el mercado norteamericano. Sin embargo, la exposición es global, con concentraciones notables en países como España, Taiwán e Italia. Resulta llamativo el caso de Islandia, que presenta una exposición desproporcionada para su tamaño. Según apuntan fuentes del sector, muchos de estos equipos están en ubicaciones remotas, dependiendo de conectividad celular o por satélite, lo que los convierte en objetivos especialmente difíciles de proteger y actualizar.

Tácticas de los APTs iraníes: desde la manipulación de proyectos hasta la disrupción operativa

Los grupos avanzados ligados a Teherán han demostrado una clara orientación hacia la tecnología operativa (OT). Su modus operandi incluye la intrusión en estaciones de trabajo de ingeniería comprometidas para luego manipular los archivos de proyecto (.ACD) de los PLCs. Esto les permite alterar la lógica de control o los datos que se muestran en las interfaces humano-máquina (HMI) y sistemas SCADA, pudiendo derivar en paradas no planificadas, daños físicos o pérdidas financieras significativas.

Grupos atribuidos y campañas conocidas

La campaña ha sido atribuida a actores como CyberAv3ngers, colectivo hacktivista asociado al IRGC iraní. Su objetivo declarado es causar disrupción en infraestructuras críticas de países considerados adversarios. El análisis de los indicadores de compromiso (IOCs) sugiere que, en ocasiones, múltiples direcciones IP explotadas se vinculan a una única estación de trabajo de ingeniería comprometida, indicando un ataque coordinado que expande la superficie de ataque más allá de lo inicialmente estimado.

Concepto de ciberataque contra infraestructuras críticas, como redes eléctricas o sistemas de agua.
Concepto de ciberataque contra infraestructuras críticas, como redes eléctricas o sistemas de agua. — Foto: Boitumelo vía Unsplash

Servicios adicionales expuestos: ampliando la superficie de ataque

El riesgo no se limita al protocolo EtherNet/IP. Censys descubrió que una gran parte de estos 5.219 hosts ejecutan servicios adicionales que abren nuevos vectores de entrada para los atacantes. Entre los más preocupantes destacan el acceso remoto VNC (a menudo con credenciales débiles o por defecto), el legacy Telnet que transmite credenciales en texto claro, y el protocolo Modbus, ampliamente usado en entornos OT. La presencia del software Red Lion Crimson en configuraciones multi-vendor añade otra capa de complejidad y riesgo.

VNC, Telnet, Modbus y otros protocolos vulnerables

Cada servicio expuesto representa una puerta adicional. VNC permite el control remoto de HMIs, Telnet ofrece acceso administrativo sin cifrado y Modbus facilita la comunicación con otros dispositivos OT. La combinación de estos servicios en un mismo dispositivo industrial expuesto crea un escenario de alto riesgo donde un atacante puede moverse lateralmente, escalar privilegios y causar un impacto severo en las operaciones físicas.

Pantalla mostrando una conexión VNC remota no segura a un panel HMI industrial.
Pantalla mostrando una conexión VNC remota no segura a un panel HMI industrial. — Foto: Richy Great vía Unsplash

Recomendaciones de mitigación: cómo proteger los sistemas OT

Frente a esta amenaza concreta y creciente, las autoridades y expertos en ciberseguridad industrial urgen a una acción inmediata y decidida. La desconexión de internet de los sistemas OT debe ser la máxima prioridad donde sea técnicamente viable. Cuando no lo sea, es imperativo implementar segmentación de red robusta, listas de control de acceso estrictas y túneles VPN seguros para el acceso remoto.

Pasos inmediatos para organizaciones afectadas

Las organizaciones que operen infraestructura crítica o industrial deben, en primer lugar, realizar un inventario y evaluación de todos sus dispositivos Rockwell PLC expuestos a redes públicas. Posteriormente, deben aplicar sin dilación las guías de mitigación publicadas por el fabricante y las agencias de ciberseguridad, que incluyen la actualización de firmware a las versiones más recientes, la revisión de registros en busca de indicadores de compromiso y la deshabilitación de servicios innecesarios como Telnet o VNC. La coordinación con organismos como el INCIBE o la CISA es crucial para reportar incidentes y recibir soporte en la respuesta.

Administrador aplicando parches de seguridad en un rack de servidores de una red industrial.
Administrador aplicando parches de seguridad en un rack de servidores de una red industrial. — Foto: Tyler vía Unsplash

Artículos relacionados

Recursos y fuentes oficiales:

Convierte la inteligencia de amenazas en ventaja estratégica

Nuestro equipo en Iberia Intelligence ofrece servicios de Ciberinteligencia para empresas e instituciones: monitorización de actores, perfiles de adversarios, alertas personalizadas e informes ejecutivos accionables.

→ Solicita información sin compromiso

Deja un comentario