ES
ES EN FR DE JA AR
Inicio | Blog | Actores de Amenaza Iraníes Explotan PLCs Expuestos para Atacar Infraestructura Crítica de EE. UU.

Actores de Amenaza Iraníes Explotan PLCs Expuestos para Atacar la Infraestructura Crítica de EE. UU.

Escrito por: REACT

4 minutos de lectura12 de abril de 2026

Un aviso conjunto publicado el 7 de abril de 2026 por el FBI, CISA, la NSA, la EPA, el Departamento de Energía y el Comando Cibernético de EE. UU. confirma que actores APT afiliados a Irán están comprometiendo activamente controladores lógicos programables expuestos a Internet en la infraestructura crítica de EE. UU. Los sectores objetivo incluyen sistemas de agua y alcantarillado, energía, instalaciones gubernamentales y municipios locales. Las víctimas confirmadas han experimentado interrupciones operativas y pérdidas financieras.

Lo que confirma el aviso

El Aviso de CISA AA26-097A documenta una campaña activa de actores de amenazas persistentes avanzadas afiliados a Irán dirigida a PLCs expuestos a Internet, específicamente aquellos fabricados por Rockwell Automation/Allen-Bradley, incluidos los dispositivos CompactLogix y Micro850. El aviso señala que otros proveedores de OT también podrían estar en riesgo, con indicadores que sugieren un posible objetivo en PLCs de Siemens.

Los atacantes obtuvieron acceso inicial utilizando IPs extranjeras e infraestructura alquilada, aprovechando software de ingeniería legítimo —Studio 5000 Logix Designer de Rockwell— para interactuar con dispositivos comprometidos. La actividad de comando y control utilizó puertos que incluyen 44818 (EtherNet/IP), 502 (Modbus) y 102 (S7). Una vez dentro, los actores interactuaron maliciosamente con los archivos del proyecto y manipularon los datos mostrados en los sistemas HMI y SCADA, causando interrupciones operativas.

El FBI evalúa la intención del grupo como la de causar efectos disruptivos dentro de los Estados Unidos. La advertencia vincula la escalada al conflicto entre Estados Unidos, Irán e Israel que comenzó en febrero de 2026, con actividades confirmadas desde marzo de 2026.

Esto sigue un patrón documentado

Esta campaña no es un incidente aislado. En noviembre de 2023, actores afines al CGRI conocidos como CyberAv3ngers —también rastreados como Hydro Kitten, Storm-0784 y UNC5691— comprometieron al menos 75 dispositivos PLC Unitronics en instalaciones de agua y aguas residuales de EE. UU. al explotar dispositivos con contraseñas predeterminadas o nulas. La Autoridad de Agua Municipal de Aliquippa, Pensilvania, se encontraba entre las víctimas confirmadas. EE. UU. sancionó a seis funcionarios del CGRI en respuesta en febrero de 2024.

En una campaña posterior en 2024, el mismo grupo desplegó malware personalizado llamado IOControl para controlar de forma remota sistemas de gestión de agua y combustible de EE. UU. e Israel. Posteriormente, el programa Recompensas por Justicia ofreció hasta $10 millones por información sobre el grupo.

La actividad actual se atribuye a un grupo APT relacionado pero separado, afiliado a Irán. El patrón es consistente: identificación sistemática de sistemas de control industriales expuestos a internet, explotación de credenciales débiles o predeterminadas, y manipulación de procesos operativos para causar interrupciones en lugar de daños permanentes, una demostración de capacidad patrocinada por el estado.

Por qué la seguridad tradicional sigue fallando en esto

Los PLC comprometidos en esta campaña eran directamente accesibles desde Internet. El ataque no requirió técnicas de explotación novedosas. Los actores utilizaron las mismas herramientas de ingeniería que los equipos de OT utilizan a diario, lo que dificultó distinguir la actividad maliciosa de las operaciones legítimas.

La mayoría de las organizaciones abordan la seguridad industrial de adentro hacia afuera: segmentando redes de OT, monitoreando el tráfico interno, implementando protección de puntos finales. Lo que sigue siendo ciego es lo que los atacantes ven primero: la superficie de ataque externa. Un PLC expuesto a Internet es visible para cualquiera que realice un escaneo. El tipo de dispositivo, la versión del firmware y los puertos abiertos son detectables en cuestión de minutos utilizando herramientas como Shodan.

Como señaló un investigador de seguridad en respuesta al aviso, el problema central para los defensores es la exposición. Si los PLC pueden ser accedidos desde internet, los atacantes tienen una ventaja asimétrica: pueden sondear continuamente a gran escala mientras que los defensores dependen de la monitorización interna que asume un aislamiento adecuado.

Esa suposición es el vacío. Los equipos de seguridad descubrieron estas intrusiones solo después de que las interrupciones operativas desencadenaran investigaciones manuales. Para entonces, los atacantes habían mantenido el acceso durante semanas, mapeando los sistemas internos e identificando objetivos adicionales.

Acciones inmediatas para equipos de seguridad

El aviso conjunto recomienda las siguientes acciones para cualquier organización que opere sistemas de control industrial conectados a Internet:

  • Eliminar la exposición directa de los PLC a Internet — coloque un cortafuegos o un proxy de red delante de cualquier PLC y elimine el acceso remoto que no esté enrutado a través de controles de seguridad configurados correctamente
  • Cambie las teclas del modo físico o de software a la posición “ejecutar” en dispositivos Rockwell para prevenir la modificación remota de archivos de proyecto
  • Habilitar autenticación multifactor en todas las vías de acceso remoto de OT
  • Auditar firmware y credenciales — actualiza al firmware más reciente, deshabilita los servicios no utilizados y elimina los nombres de usuario y contraseñas predeterminados
  • Escanear su perímetro externo para protocolos industriales expuestos — compruebe si hay puertos abiertos 502 (Modbus), 44818 (EtherNet/IP), 102 (S7) y 20000 (DNP3) en sus rangos de IP
  • Revisar registros contra IOCs publicados — el aviso incluye indicadores de compromiso descargables en formatos XML y JSON
  • Monitorear canales de la dark web para discusiones sobre actores de amenazas dirigidos a su sector y acceso compartido a sistemas industriales

El panorama general

Esta campaña se enmarca en un patrón más amplio de escalada cibernética iraní. Desde el inicio del conflicto entre Estados Unidos, Irán e Israel en febrero de 2026, grupos afiliados a Irán han reivindicado víctimas, incluyendo Stryker, gobiernos locales y múltiples operadores de infraestructura crítica. Los actores iraníes comparten cada vez más inteligencia y acceso entre los grupos afiliados, acelerando el cronograma de amenazas para cualquier organización con sistemas industriales expuestos a Internet.

Las implicaciones para la cadena de suministro son significativas. Como señaló un líder de seguridad en respuesta al aviso: “Si una utilidad municipal se cae, los proveedores, los hospitales y los socios regionales lo sienten”. Cada campaña exitosa reduce la barrera para la siguiente, pasando de la demostración de capacidades a la interferencia operativa real.

El aviso del CISA establece explícitamente que las organizaciones de todos los sectores de infraestructura crítica deben asumir que pueden ser atacadas y evaluar proactivamente sus entornos de tecnología operativa (OT) en busca de exposiciones antes de que los atacantes las encuentren primero.

Cómo CybelAngel detecta este tipo de exposición

El vector de ataque en esta campaña —sistemas de control industrial expuestos en internet con autenticación débil— es exactamente lo que Gestión de la Superficie de Ataque de CybelAngel el módulo está diseñado para mostrar. Nuestra plataforma escanea continuamente PLCs, HMIs y gateways industriales expuestos en los rangos de IP de los clientes e infraestructura conectada, identificando sistemas expuestos a Internet antes de que los actores de amenazas los alcancen.

Nuestro Inteligencia de Credenciales El módulo monitorea fuentes de la dark web y foros clandestinos en busca de credenciales comprometidas y acceso a sistemas industriales que son comercializados o anunciados por actores de amenazas, incluidos grupos afiliados a Irán que comparten inteligencia sobre objetivos a través de redes.

Cuando nuestros analistas detectan sistemas industriales expuestos o ataques activos al sector de un cliente, nuestro Equipo REACT Proporciona orientación de remediación inmediata y coordina la respuesta. La brecha de detección que permitió a estos actores operar sin ser detectados durante semanas es exactamente la ventana que el monitoreo "outside-in" cierra.

Lee nuestro para más información sobre cómo los grupos patrocinados por el estado están atacando la infraestructura industrial. Informe sobre el panorama de amenazas cibernéticas en el sector aeroespacial y de defensa o ver cómo APT28 utilizó un enfoque similar de afuera hacia adentro para comprometer enrutadores SOHO para el robo de credenciales.

  1. Asesoramiento de CISA AA26-097A: Actores Cibernéticos Afiliados a Irán Exploran PLCs en la Infraestructura Crítica de EE. UU.
  2. Aviso Conjunto del FBI/CISA — Actores Cibernéticos Afiliados al CGRI Explotan PLCs en Múltiples Sectores
  3. SecurityWeek — Hackers vinculados a Irán interrumpen la infraestructura crítica de EE. UU. a través de ataques a PLC
  4. CyberScoop — Hackers iraníes apuntan a la infraestructura energética y de agua de EE. UU.
  5. The Hacker News — Hackers vinculados a Irán interrumpen infraestructuras críticas de EE. UU.
  6. CSO Online — Los ataques de PLC vinculados a Irán causan interrupciones en el mundo real
  7. Informe de ciberseguridad OT/ICS Dragos 2026
  8. Resumen de Amenazas y Avisos de CISA sobre Irán

Sobre el autor

REACT

El REACT Team es un grupo de élite de analistas de ciberseguridad que trabajan en CybelAngel.

lee todos los artículos