Ataques iraníes a PLCs: Irán impacta infraestructura crítica de EE. UU.

El panorama global de la ciberseguridad se ve cada vez más convulsionado por la escalada de conflictos geopolíticos que trascienden del ámbito físico al digital. En este contexto, los ataques iraníes a PLCs (Controladores Lógicos Programables) en la infraestructura crítica de Estados Unidos representan una preocupante evolución. Desde al menos marzo de 2026, actores de amenazas persistentes avanzadas (APT) afiliados a Irán han intensificado sus operaciones contra organizaciones estadounidenses, impactando directamente sistemas que sustentan servicios esenciales.

La Sombra Iraní en la Infraestructura Crítica Estadounidense

Las agencias de inteligencia y ciberseguridad de Estados Unidos, incluyendo la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad), el FBI, la NSA, la EPA, el DOE y el Comando Cibernético de EE. UU. – Fuerza de Misión Nacional Cibernética (CNMF), han emitido una advertencia conjunta sobre la actividad de actores APT vinculados a Irán. Estos grupos, conocidos por múltiples denominaciones como Hydro Kitten, Storm-0784, APT Iran, Bauxite, Mr. Soul, Soldiers of Solomon, UNC5691, y el Shahid Kaveh Group (incluyendo CyberAv3ngers), han demostrado una creciente sofisticación y una clara intención de causar interrupciones operativas. La escalada de estas campañas, particularmente desde marzo de 2026, se atribuye a un aumento de las hostilidades entre Irán, Estados Unidos e Israel, marcando un cambio de la fase de reconocimiento a la disrupción activa de los procesos industriales.

Un Historial de Intromisión: De Unitronics a Rockwell Automation

Si bien la alerta más reciente se centra en la explotación de PLCs de Rockwell Automation/Allen-Bradley, es crucial recordar que estos no son los primeros ataques iraníes a PLCs de infraestructuras críticas. En una campaña similar que comenzó en noviembre de 2023, actores cibernéticos afiliados al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán, específicamente los “CyberAv3ngers” (también conocidos por los nombres antes mencionados), comprometieron al menos 75 dispositivos PLC Unitronics basados en EE. UU. Esos ataques iniciales se dirigieron a dispositivos PLC Unitronics de la serie Vision con interfaz hombre-máquina (HMI) en sectores como los sistemas de agua y aguas residuales (WWS).

La actividad actual, que se observa desde al menos marzo de 2026, si bien es atribuida a un grupo de APT iraní afiliado, se ha centrado en dispositivos de Rockwell Automation/Allen-Bradley. Esta distinción es importante, ya que demuestra la capacidad de estos actores para diversificar sus objetivos y TTPs (Tácticas, Técnicas y Procedimientos) para adaptarse a diferentes fabricantes y tipos de equipos de tecnología operativa (OT).

La Vulnerabilidad de los PLCs: ¿Por Qué Son un Objetivo Atractivo?

Los Controladores Lógicos Programables (PLCs) son los “cerebros” de la automatización industrial. Son microcomputadoras robustas diseñadas para controlar procesos críticos en una variedad de entornos, desde líneas de ensamblaje en fábricas hasta sistemas de gestión de agua y redes eléctricas. Su importancia radica en su capacidad para ejecutar instrucciones lógicas y controlar dispositivos físicos en tiempo real.

La razón por la cual los ataques iraníes a PLCs son tan alarmantes es que estos dispositivos a menudo operan en entornos de infraestructura crítica, incluyendo:

• Servicios Gubernamentales y de Instalaciones: Abasteciendo desde municipios locales hasta grandes instalaciones estatales.
• Sistemas de Agua y Aguas Residuales (WWS): Gestionando el bombeo, tratamiento y distribución de agua potable, así como la gestión de aguas residuales.
• Sector Energético: Controlando operaciones en plantas de generación, subestaciones eléctricas y redes de distribución.

La explotación de un PLC puede tener consecuencias devastadoras, desde interrupciones operativas y pérdidas financieras hasta la afectación directa de la salud pública y la seguridad nacional. Muchos de estos sistemas fueron diseñados en una era anterior a las amenazas cibernéticas generalizadas, lo que los hace inherentemente vulnerables si no se implementan medidas de seguridad modernas.

Anatomía del Ataque: TTPs de los Actores APT Iraníes

Los actores APT iraníes han empleado una serie de TTPs para comprometer y manipular PLCs. Un denominador común en sus campañas es el enfoque en dispositivos OT expuestos directamente a internet.

Acceso Inicial y Manipulación

1. Exposición a Internet: Los PLCs, incluyendo los fabricados por Rockwell Automation/Allen-Bradley (como los dispositivos CompactLogix y Micro850), así como los Unitronics PLC Vision Series, han sido identificados y atacados cuando están directamente expuestos a la internet pública.
2. Credenciales Débiles/Por Defecto: En el caso de los ataques a Unitronics en 2023, la CISA destacó el uso de contraseñas débiles o por defecto, incluyendo la contraseña “1111”, como un vector clave de acceso.
3. Infraestructura Legítima Mal utilizada: Los atacantes utilizan direcciones IP basadas en el extranjero y una infraestructura de terceros arrendada. Luego, emplean software de configuración legítimo, como el Studio 5000 Logix Designer de Rockwell Automation, para establecer una conexión aceptada con el PLC de la víctima. Esto les permite operar de manera que se asemeja a una actividad de mantenimiento o configuración legítima, dificultando su detección.
4. Manipulación de Archivos de Proyecto: Una vez dentro, interactúan maliciosamente con los archivos de proyecto de los PLCs. Esto puede implicar la alteración de la lógica de escalera (ladder logic) del PLC, reconfigurando el sistema para sus propios fines.
5. Alteración de Pantallas HMI y SCADA: Los actores también manipulan los datos que se muestran en las Interfaces Hombre-Máquina (HMI) y los sistemas de Control de Supervisión y Adquisición de Datos (SCADA). Esto puede llevar a que los operadores vean información incorrecta, lo que podría provocar decisiones operativas erróneas con graves consecuencias. La desfiguración de HMIs también ha sido una táctica observada en campañas anteriores.

Persistencia y Control

Para mantener el acceso, los actores APT han desplegado el software Dropbear Secure Shell (SSH) en los puntos finales de las víctimas, lo que les permite obtener acceso remoto a través del puerto 22. Esta técnica les asegura una puerta trasera para futuras operaciones. Además, se ha observado tráfico malicioso entrante en puertos asociados con dispositivos OT, como 44818, 2222, 102, 22 y 502, lo que sugiere un escaneo activo de sistemas industriales y la posibilidad de que otros fabricantes de PLCs, como Siemens (S7 PLC), también sean objetivo.

Impacto y Consecuencias: Más Allá de la Interrupción Técnica

El impacto directo de estos ataques iraníes a PLCs se ha manifestado en interrupciones operativas y pérdidas financieras para las organizaciones víctimas. Sin embargo, las ramificaciones son mucho más amplias:

• Amenaza a la Seguridad Pública: En el caso de los sistemas WWS, la interrupción podría comprometer el suministro de agua potable o el tratamiento de aguas residuales, afectando directamente la salud de las comunidades.
• Debilitamiento de la Confianza: Los ataques a infraestructuras críticas erosionan la confianza pública en la capacidad de los gobiernos y las empresas para proteger servicios esenciales.
• Escalada Geopolítica: Estos ataques cibernéticos son un reflejo y un componente de la escalada de tensiones geopolíticas, utilizando el ciberespacio como un nuevo campo de batalla.

El Llamado a la Acción de CISA: Mitigaciones Esenciales

Ante la gravedad de la amenaza, la CISA y sus socios han emitido recomendaciones urgentes para que las organizaciones estadounidenses fortalezcan sus defensas. Es imperativo que las empresas y entidades gubernamentales actúen proactivamente para mitigar el riesgo de estos ataques iraníes a PLCs.

Medidas de Seguridad Inmediatas y a Largo Plazo:

1. Eliminar la Exposición Directa a Internet: La medida más crítica es retirar los PLCs de la exposición directa a internet. Esto debe hacerse mediante el uso de pasarelas seguras (secure gateways) y firewalls robustos que controlen estrictamente el acceso a la red OT.
2. Revisar TTPs e IOCs: Las organizaciones deben revisar urgentemente las tácticas, técnicas y procedimientos (TTPs) e indicadores de compromiso (IOCs) proporcionados en los avisos de CISA para detectar cualquier signo de actividad actual o histórica en sus redes. Los IOCs se pueden descargar en formatos STIX XML y STIX JSON.
3. Monitoreo de Registros y Tráfico:
   • Consultar los registros disponibles en busca de los IOCs proporcionados en los plazos correspondientes.
   • Buscar tráfico sospechoso en los puertos asociados a dispositivos OT (incluidos 44818, 2222, 102, 22 y 502), especialmente si se origina en proveedores de alojamiento extranjeros.
4. Seguridad de Contraseñas y MFA:
   • Cambiar todas las contraseñas predeterminadas en PLCs y HMIs por contraseñas fuertes y únicas.
   • Asegurarse de que la contraseña por defecto de Unitronics “1111” no esté en uso.
   • Exigir autenticación multifactor (MFA) para todo acceso remoto a la red OT, incluso desde la red de TI y redes externas. Si el PLC no lo soporta, un VPN o dispositivo gateway puede habilitar MFA.
5. Configuración del Dispositivo:
   • Para dispositivos Rockwell Automation, colocar el interruptor físico de modo del controlador en la posición “run”.
   • Considerar el uso de un puerto TCP diferente al puerto por defecto TCP 20256 para Unitronics.
   • Tomar medidas para evitar la modificación remota del PLC, ya sea mediante un interruptor físico o de software.
6. Respaldo y Recuperación: Realizar copias de seguridad de la lógica y las configuraciones de los PLCs para permitir una recuperación rápida en caso de compromiso. Familiarizarse con el proceso de restablecimiento de fábrica y despliegue de configuraciones.
7. Alineación con Estándares: Implementar mitigaciones que se alineen con los Objetivos de Rendimiento de Ciberseguridad Transversales 2.0 (CPG 2.0) desarrollados por CISA y el NIST (Instituto Nacional de Estándares y Tecnología).
8. Pruebas y Validación: Ejercitar, probar y validar activamente los programas de seguridad contra los comportamientos de amenaza mapeados al marco MITRE ATT&CK para Enterprise.
9. Contacto con Autoridades: Si se sospecha un ataque, contactar inmediatamente a las agencias autoras (FBI, CISA, NSA, EPA, DOE, CNMF) y al fabricante (como Rockwell Automation) para obtener orientación y apoyo.

Conclusión: La Necesidad de una Defensa Resiliente

La amenaza de los ataques iraníes a PLCs en la infraestructura crítica de Estados Unidos es un recordatorio contundente de la creciente interconexión entre el ciberespacio y el mundo físico. La capacidad de actores APT afiliados a Irán para manipular sistemas de control industrial representa un riesgo significativo para la seguridad nacional, la economía y el bienestar público. La vigilancia constante, la implementación rigurosa de las mejores prácticas de ciberseguridad, la inversión en tecnologías de defensa y la colaboración estrecha entre el sector público y privado son esenciales para construir una infraestructura verdaderamente resiliente frente a adversarios cada vez más sofisticados.

La batalla por el control de la infraestructura crítica se libra ahora en el ámbito digital. La inacción ya no es una opción; la defensa proactiva y una postura de seguridad “por diseño” son la única vía para salvaguardar el futuro de los servicios esenciales que todos damos por sentado.