Un puerto abierto paraliza por completo una planta: ¿qué provocó los ataques masivos contra la industria?
Las defensas convencionales no funcionaron frente a la nueva táctica.
Las autoridades estadounidenses advirtieron sobre una nueva ola de ataques contra equipos industriales que ya ha afectado a instalaciones críticas. No se trata de incidentes aislados, sino de una campaña dirigida capaz de interrumpir infraestructuras y ocasionar pérdidas económicas.
Aviso conjunto fue publicado por el FBI, la Agencia de Seguridad Cibernética y de Infraestructura (CISA), la Agencia de Seguridad Nacional (NSA) y otros organismos. Según sus datos, un grupo vinculado a Irán está atacando controladores lógicos programables (PLC) utilizados en instalaciones de energía, suministro de agua y en sistemas municipales.
Los atacantes seleccionan dispositivos accesibles directamente desde Internet. El objetivo principal son los controladores Rockwell Automation de la línea Allen-Bradley, aunque también pueden verse afectados equipos de otros fabricantes. A través de esos dispositivos los atacantes obtienen acceso a los procesos industriales y los manipulan.
Durante los ataques se detectaron modificaciones de datos en las interfaces de los operadores y en los sistemas SCADA. Paralelamente, los atacantes extraían los archivos de proyecto de los controladores. En varios casos estas acciones ya han provocado fallos operativos y pérdidas financieras para las organizaciones.
Para conectarse a los dispositivos, los atacantes usan software legítimo e infraestructura de proveedores de hosting de terceros. El tráfico entrante pasa por puertos típicos de equipos industriales, incluidos 44818, 2222 y 502. Además, en los sistemas comprometidos despliegan acceso SSH para mantener persistencia y administrar los equipos de forma remota.
La actividad aumentó en la primavera de 2026. Las agencias relacionan el incremento de ataques con la tensión geopolítica y consideran que la campaña busca provocar interrupciones dentro de Estados Unidos. Operaciones similares ya habían sido realizadas anteriormente por el grupo CyberAv3ngers, vinculado a estructuras iraníes.
Se recomienda a las organizaciones retirar con urgencia los controladores del acceso directo a Internet, revisar los registros de eventos y vigilar el tráfico sospechoso procedente de direcciones extranjeras. También se aconseja reforzar la autenticación, limitar el acceso remoto y actualizar regularmente el software.
Se hizo hincapié en las medidas básicas de seguridad. Se recordó a los fabricantes de equipos la necesidad de integrar la seguridad por defecto, para que los usuarios no tengan que corregir por sí mismos vulnerabilidades críticas.