Controladores lógicos programables en Internet, un regalo para los hackers: investigadores hallan miles de sistemas industriales que pueden dejarse fuera de servicio con un solo clic
Parece que hemos sobreestimado la fiabilidad de las infraestructuras críticas.
Investigadores han descubierto una campaña a gran escala contra controladores industriales que sus propietarios dejaron accesibles desde Internet. Detrás de solicitudes a simple vista habituales a Modbus/TCP se ocultaban no solo exploraciones masivas, sino también intentos de identificar qué controla el dispositivo, sobrecargarlo o modificar valores en los registros.
Según los especialistas de Cato Networks Guy Weizel y Jakub Osmani, de septiembre a noviembre de 2025 la actividad sospechosa afectó a 14.426 direcciones IP en 70 países. La mayoría de los objetivos estaba en Estados Unidos, seguidos por Francia y Japón. A los diez países más afectados correspondió el 86% de todas las direcciones, y a los tres primeros — el 61%.
Modbus fue creado para redes industriales cerradas, no para acceso público. Si un PLC está visible desde Internet, un atacante puede pasar rápidamente de la búsqueda a la acción: identificar el fabricante y el modelo, leer datos de los registros y, si la escritura está disponible, cambiar parámetros que afectan al proceso físico.
La actividad más masiva fueron las solicitudes de lectura de registros de retención mediante la función 0x03. En tres meses Cato Networks registró alrededor de 235.500 de estas peticiones desde 233 direcciones IP. Casi la mitad de las fuentes se solapó con otras detecciones de sistemas de defensa, lo que indica una actividad sospechosa más amplia.
Parte del comportamiento parecía más dirigida. Las fuentes primero solicitaban la identificación del dispositivo y luego leían un rango fijo de registros. Esa combinación parece un guion automatizado: primero identificar qué PLC se ha encontrado, luego extraer datos relevantes para ese modelo concreto.
Separadamente, los especialistas describieron una actividad parecida a un intento de provocar una falla. Una fuente envió alrededor de 158.100 solicitudes rápidas a un objetivo, intentando cada vez leer casi el máximo número de registros. Los autores del informe no comprobaron el impacto sobre el propio controlador, pero tal flujo puede interferir con el procesamiento normal de comandos.
La parte más peligrosa fueron 3.240 solicitudes de escritura en registros provenientes de una sola dirección IP. Los comandos empezaban cada vez en la dirección 0x0BB8 y abarcaban de 27 a 122 registros. Cato Networks considera que ese patrón es indicativo de una comprobación automatizada o de un intento de manipulación.
Las empresas manufactureras resultaron ser el grupo de objetivos más destacado, representando el 18%. También en la muestra estaban los sectores de salud, construcción, tecnología, transporte, finanzas y organismos municipales. Los autores del informe recomiendan no dejar Modbus accesible desde Internet, aislar las redes OT y permitir el acceso solo a fuentes de confianza.