Hackers iraníes pueden apagar fábricas y centrales eléctricas de forma remota; miles de equipos están expuestos.

Grupos de hackers iraníes vinculados al Estado se han centrado en los últimos meses en un objetivo muy concreto dentro de la infraestructura crítica de Estados Unidos: los controladores Rockwell Automation y Allen-Bradley, que siguen expuestos en internet por miles. El problema no es solo el interés de los atacantes. Nuevos datos muestran que una parte significativa de esos dispositivos industriales se encuentra precisamente en Estados Unidos, y con frecuencia se trata de sistemas conectados mediante módems celulares y que operan directamente en las instalaciones.

Varios organismos federales de EE. UU. advirtieron sobre la nueva oleada de ataques. Según ellos, desde marzo de 2026 los grupos iraníes que la parte estadounidense considera estatales comenzaron a atacar de forma dirigida dispositivos PLC de Rockwell Automation y Allen-Bradley en las redes de organizaciones estadounidenses. Las consecuencias ya han ido más allá de la recopilación de inteligencia: las autoridades hablan de interrupciones operativas y daños financieros.

La investigación también estableció que los atacantes no se limitaron a comprobar el acceso. Durante la campaña extraían el archivo de proyecto del controlador, donde se almacena la lógica de funcionamiento del sistema, y luego manipulaban los datos que se muestran en las pantallas HMI y SCADA. Para el entorno industrial esto ya no es solo un incidente molesto, sino una intervención directa en cómo el operador ve y entiende el estado del proceso. Si la visualización está distorsionada, el personal tomará decisiones basadas en datos falsos. Y a partir de ahí se desencadena el efecto dominó

Al día siguiente de la publicación de la advertencia estadounidense, Censys publicó su evaluación. La compañía contabilizó 5219 hosts accesibles en todo el mundo que responden por EtherNet/IP y se identifican como dispositivos Rockwell Automation o Allen-Bradley. El panorama resultó extremadamente desigual: el 74,6% de toda la exposición mundial corresponde a Estados Unidos. En cifras absolutas son 3891 hosts.

Los investigadores señalaron además otro detalle. Una proporción desproporcionada de los dispositivos estadounidenses se encontraba en sistemas autónomos de operadores móviles. Ese perfil suele indicar instalaciones de campo conectadas mediante módems celulares, y no protegidas dentro de redes industriales aisladas. Para los atacantes esto resulta especialmente cómodo: no hace falta penetrar profundamente en la infraestructura corporativa si parte del equipo industrial ya está expuesto.

En la práctica se trata de controladores lógicos programables que gestionan procesos físicos. Estos dispositivos están en la industria, en los servicios públicos, en instalaciones energéticas y en otros segmentos de la infraestructura crítica. Por eso cualquier acceso no autorizado a ellos es peligroso no solo por la fuga de datos.

Las autoridades estadounidenses vinculan la actual escalada con el agravamiento de la situación entre Irán, EE. UU. e Israel. En la advertencia se afirma directamente que la actividad de los grupos APT iraníes contra organizaciones estadounidenses se ha intensificado recientemente y que, al parecer, los ciberataques forman parte de un conflicto político más amplio. Para los operadores de infraestructura crítica esto significa algo desagradable: la lógica habitual de atribuirlo a un escaneo fortuito o a un ataque oportunista ya no funciona aquí. Los atacantes actúan de forma dirigida y saben exactamente qué sistemas necesitan.

¿Qué recomendaciones de protección? El consejo principal: o bien aislar los PLC tras un cortafuegos, o retirarlos por completo del acceso directo a internet. Además, se recomienda a los defensores revisar los registros en busca de signos de actividad maliciosa, analizar por separado el tráfico sospechoso en los puertos OT, especialmente si procede de proveedores de hosting extranjeros, y asegurarse de que el acceso a las redes OT esté protegido con autenticación multifactor. También las agencias recuerdan medidas básicas, pero aún problemáticas: actualizar el firmware y el software de los controladores, desactivar servicios no utilizados y eliminar métodos de autenticación innecesarios.

La campaña actual encaja bien en la línea de ataques ya conocida, atribuida a estructuras iraníes y a grupos afines. Hace casi tres años un escenario similar se desarrolló en torno a los PLC de Unitronics en Estados Unidos. Entonces el grupo CyberAv3ngers, vinculado al Cuerpo de Guardianes de la Revolución Islámica, atacó vulnerabilidades en sistemas OT estadounidenses basados en Unitronics. Entre noviembre de 2023 y enero de 2024 los hackers comprometieron al menos 75 de estos dispositivos en varias oleadas. Aproximadamente la mitad afectó instalaciones de abastecimiento y tratamiento de agua, es decir, uno de los segmentos más sensibles de la infraestructura crítica.

Hay también un ejemplo más reciente, ya fuera del ámbito puramente industrial pero en la misma órbita política. El grupo Handala, vinculado al ministerio de Inteligencia iraní, fue acusado anteriormente de atacar la red de la compañía médica estadounidense Stryker. Según los datos disponibles, allí borraron aproximadamente 80 000 dispositivos, incluidos teléfonos móviles de empleados y ordenadores personales gestionados por la empresa.