Netcrook Logo
👤 AGONY
🗓️ 13 Apr 2026   🌍 Middle-East

Expuestos a Gran Escala: Cómo Hackers Iraníes Están Convirtiendo los PLCs de Rockwell en Objetivos de Infraestructura Crítica

Miles de dispositivos de control industrial están peligrosamente abiertos en línea mientras las amenazas cibernéticas iraníes se intensifican, exponiendo a servicios públicos y fábricas de EE. UU. a un riesgo sin precedentes.

Todo comenzó con una advertencia que pudo haber pasado desapercibida: el 7 de abril de 2026, agencias federales estadounidenses alertaron discretamente sobre operadores cibernéticos iraníes que estaban activamente apuntando a los controladores lógicos programables (PLC) de Rockwell Automation - los cerebros digitales detrás de sistemas de agua, energía y manufactura. Pero nueva evidencia revela que la amenaza no es lejana ni teórica. Está aquí, es extensa y en gran parte está desprotegida.

Según nuevos datos de escaneo de Censys, la magnitud de la exposición es asombrosa: más de cinco mil PLCs de Rockwell están abiertamente conectados en línea, muchos en despliegues críticos de campo como bombas de agua y subestaciones de energía. La gran mayoría están en EE. UU., a menudo conectados mediante módems celulares básicos con protección mínima. Para los adversarios, esto es una superficie de ataque irresistible.

La advertencia inicial del gobierno señaló siete direcciones IP sospechosas como infraestructura de los atacantes. Pero un análisis más detallado cuenta una historia más sutil - y más preocupante. Todas estas direcciones corresponden a una sola computadora de ingeniería con Windows, personalizada por los atacantes con las propias herramientas de Rockwell. Esta plataforma de lanzamiento digital, identificada por un certificado único de escritorio remoto (“DESKTOP-BOE5MUC”), utilizaba de manera astuta múltiples conexiones a internet para enmascarar sus actividades. Los investigadores han rastreado al menos cuatro direcciones IP adicionales vinculadas a esta misma configuración - puntos ciegos que no se detectaron en la alerta original.

Sumando al misterio, una de las IP listadas resultó ser un servidor “desechable” en Rumania: alquilado rápidamente, utilizado para escaneos a mediados de marzo y luego abandonado. Este tipo de infraestructura ágil dificulta aún más la atribución y la defensa.

Los riesgos técnicos son graves. Muchos de los PLCs expuestos son modelos MicroLogix 1400 antiguos con firmware desactualizado, o sistemas CompactLogix y Micro850 más nuevos. Cientos están emparejados con puertos VNC o Telnet abiertos - lo que significa que si los hackers logran entrar, literalmente pueden ver y manipular las pantallas industriales que controlan procesos vitales. Un PLC comprometido podría alterar parámetros de tratamiento de agua, interrumpir flujos eléctricos o sabotear líneas de producción.

Los expertos instan a tomar medidas inmediatas. La máxima prioridad: retirar los PLCs del acceso directo a internet. Si la gestión remota es esencial, debe estar protegida detrás de una puerta de enlace segura y autenticación multifactor. En el terreno, simplemente girar el interruptor físico a “RUN” en ciertos modelos puede bloquear manipulaciones remotas. Finalmente, las organizaciones deben actualizar las reglas de firewall para bloquear todas las IPs de los atacantes - especialmente las recién descubiertas - y monitorear de manera vigilante las conexiones sospechosas a puertos industriales.

Este episodio es una llamada de atención para los operadores de infraestructura crítica en todas partes. La línea entre el reconocimiento digital y la disrupción en el mundo real es más delgada que nunca, y los adversarios ya están dentro del perímetro. Es hora de cerrar las puertas digitales antes de que el próximo ataque pase del escaneo al sabotaje.

WIKICROOK

  • PLC (Controlador Lógico Programable): Un PLC es una computadora robusta que automatiza y controla maquinaria y procesos industriales en fábricas, plantas y otros entornos industriales.
  • APT (Amenaza Persistente Avanzada): Una Amenaza Persistente Avanzada (APT) es un ciberataque dirigido y de largo plazo por grupos expertos, a menudo respaldados por estados, que buscan robar datos o interrumpir operaciones.
  • VNC (Virtual Network Computing): VNC (Virtual Network Computing) permite a los usuarios ver y controlar remotamente la pantalla de otra computadora en tiempo real a través de una red o internet.
  • Certificado de Escritorio Remoto: Un certificado de escritorio remoto autentica y cifra las conexiones de escritorio remoto, asegurando la comunicación y protegiendo contra accesos no autorizados o la interceptación de datos.
  • Firmware: El firmware es un software especializado almacenado en dispositivos de hardware, que gestiona sus operaciones principales y seguridad, y les permite funcionar correctamente.
Iranian Hackers Rockwell PLCs Cybersecurity Threats
AGONY AGONY
Elite Offensive Security Commander
← Back to news