hackers iraníes infraestructura crítica: Una advertencia conjunta del FBI, la CISA y la NSA, entre otras agencias, confirma que hackers iraníes están llevando a cabo campañas activas contra infraestructura crítica de Estados Unidos, centrándose en controladores lógicos programables (PLCs) de Rockwell/Allen-Bradley expuestos a Internet. Según nuestro análisis, estos ataques buscan causar disrupciones operativas y manipular datos en sistemas de control industrial (ICS).
Puntos clave del análisis
- Actores de Amenaza Persistente Avanzada (APT) afiliados a Irán están atacando PLCs expuestos en Internet desde al menos marzo de 2026.
- Los sectores objetivo incluyen Servicios Gubernamentales, Agua y Saneamiento, y Energía.
- El modus operandi incluye la extracción de archivos de proyecto y la manipulación maliciosa de interfaces HMI y SCADA.
- Esta escalada parece una respuesta a las tensiones geopolíticas actuales entre Irán, Estados Unidos e Israel.
- Las recomendaciones de defensa priorizan la segmentación de red, la monitorización de tráfico OT y la aplicación de parches.
Cómo los hackers iraníes atacan la infraestructura crítica mediante PLCs
🔍 Anticipa las amenazas antes de que lleguen a tu organización. En Iberia Intelligence aplicamos ciberinteligencia avanzada: seguimiento de actores de amenaza, análisis de TTPs, alertas tempranas y vigilancia en fuentes abiertas y cerradas adaptada a tu sector y geografía.
La alerta, emitida de forma coordinada por el FBI, CISA, NSA, la EPA y el Departamento de Energía, detalla una campaña de ciberataques en curso. Los atacantes, identificados como grupos APT iraníes, escanean Internet en busca de controladores lógicos programables (PLCs) de la marca Rockwell/Allen-Bradley que carezcan de protección adecuada, como firewalls o acceso por VPN. Una vez localizados, explotan configuraciones débiles o credenciales por defecto para obtener acceso. hackers iraníes infraestructura crítica es clave para entender el alcance de esta amenaza.
Su objetivo no es el robo de datos, sino la alteración operativa. Según las agencias, los intrusos extraen los archivos de proyecto del PLC para entender la lógica de control y, posteriormente, manipulan los datos que se muestran en las interfaces hombre-máquina (HMI) y en los sistemas de supervisión y control de datos (SCADA). Esto puede provocar que los operadores tomen decisiones erróneas basadas en información falsa, lo que derivaría en paradas no planificadas, daños físicos o interrupciones en servicios esenciales. hackers iraníes infraestructura crítica es clave para entender el alcance de esta amenaza.
Modus operandi y herramientas de los grupos APT iraníes
Nuestro análisis de inteligencia indica que estos actores utilizan técnicas relativamente sencillas pero efectivas contra entornos OT. No se ha detectado el uso de un malware complejo de día cero; en su lugar, se aprovechan de una mala higiene de seguridad: dispositivos conectados directamente a Internet sin autenticación multifactor (MFA), contraseñas por defecto y servicios innecesarios habilitados. La manipulación de las pantallas SCADA es especialmente preocupante, ya que puede enmascarar un ataque en curso, impidiendo su detección visual por parte de los equipos de operaciones.
Contexto geopolítico y escalada de las campañas de ataque
Las agencias estadounidenses son contundentes al vincular el repunte de esta actividad con el contexto geopolítico actual. «Las campañas de ataque de APT afiliados a Irán contra organizaciones estadounidenses se han intensificado recientemente, probablemente en respuesta a las hostilidades entre Irán, y Estados Unidos e Israel», señala el comunicado. Esta dinámica convierte a la infraestructura crítica en un objetivo de represalia y en un campo de batalla no convencional.
Desde nuestra perspectiva en ciberinteligencia, este patrón no es nuevo. La táctica de atacar activos industriales expuestos para enviar un mensaje político o causar daño tangible ha sido una constante en el playbook de varios grupos vinculados al Estado iraní. La novedad reside en la audacia y el alcance continuado de los ataques, que ahora afectan a múltiples sectores de forma simultánea.
Antecedentes: El caso de CyberAv3ngers y los PLCs de Unitronics
Este modus operandi ya lo vimos a finales de 2023 con el grupo CyberAv3ngers, afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC). En aquella ocasión, explotaron vulnerabilidades en sistemas OT de Unitronics, comprometiendo al menos 75 dispositivos, la mitad en redes de infraestructura de agua. La campaña actual representa una evolución, ampliando el abanico de fabricantes de equipos objetivo y perfeccionando las técnicas de manipulación de datos.
Recomendaciones de defensa para proteger sistemas OT e infraestructura crítica
La alerta conjunta no se limita a describir la amenaza, sino que proporciona una guía de mitigación concisa y práctica. La primera y más crucial medida es la desconexión de Internet. Ningún PLC o dispositivo de control industrial debería estar accesible directamente desde la red pública. Si la conectividad remota es absolutamente necesaria, debe implementarse a través de una arquitectura zero-trust, con firewalls específicos para OT, segmentación de red estricta y acceso mediante VPN con autenticación multifactor (MFA).
Además, es vital implementar las siguientes medidas:
- Monitorización y análisis de registros: Escanear proactivamente los logs en busca de los indicadores de compromiso (IoCs) publicados por las agencias.
- Gestión de parches y firmware: Mantener todos los PLCs y dispositivos OT actualizados con el último firmware disponible del fabricante.
- Endurecimiento de sistemas: Deshabilitar todos los servicios, puertos y métodos de autenticación que no estén en uso, eliminando especialmente las claves de autenticación por defecto.
- Monitorización de tráfico de red: Establecer una baseline del tráfico normal en la red OT y alertar sobre cualquier anomalía, prestando especial atención al tráfico que se origine en proveedores de alojamiento en el extranjero.
El panorama ampliado: Otros incidentes recientes vinculados a Irán
Esta alerta sobre infraestructura crítica no es un hecho aislado en el panorama de amenazas actual. Apenas el mes pasado, el grupo hacktivist pro-palestino Handala, vinculado a Irán, reclamó el borrado de aproximadamente 80.000 dispositivos en la red del gigante médico estadounidense Stryker. Asimismo, el FBI ya había advertido previamente sobre actores iraníes afiliados al Ministerio de Inteligencia y Seguridad (MOIS) que utilizan la plataforma Telegram para distribuir malware y realizar campañas de ingeniería social.
Estos incidentes, analizados en conjunto, dibujan una estrategia de presión multidimensional. Mientras unos grupos se centran en el sabotaje físico y operativo de infraestructuras, otros buscan el impacto económico y la filtración de datos. Como analistas, detectamos un claro mensaje de capacidades y una voluntad de utilizar el ciberespacio como un instrumento de fuerza asimétrica.
La importancia de la concienciación y la inteligencia de amenazas
La defensa eficaz pasa por elevar el nivel de concienciación en todos los eslabones de la cadena, desde los equipos de TI/OT hasta la alta dirección. Integrar fuentes de inteligencia de amenazas (Threat Intelligence) que proporcionen contexto sobre los actores, sus tácticas y sus indicadores de compromiso es fundamental para anticiparse y responder con agilidad. La colaboración público-privada y el intercambio de información, como el reflejado en esta alerta conjunta, son herramientas indispensables en el arsenal defensivo.
Recursos y fuentes oficiales:
Convierte la inteligencia de amenazas en ventaja estratégica
Nuestro equipo en Iberia Intelligence ofrece servicios de Ciberinteligencia para empresas e instituciones: monitorización de actores, perfiles de adversarios, alertas personalizadas e informes ejecutivos accionables.