Hackers vinculados a Irán están atacando activamente miles de controladores lógicos programables (PLCs) expuestos a Internet, fabricados por **Rockwell Automation**, en ciberataques contra redes de infraestructura crítica de EE. UU. Según un aviso conjunto emitido por múltiples agencias federales de EE. UU., grupos de hackers respaldados por el estado iraní han estado atacando dispositivos PLC de **Rockwell Automation/Allen-Bradley** desde marzo de 2026, causando interrupciones operativas y pérdidas financieras. "Las campañas de ataque de APT afiliadas a Irán contra organizaciones estadounidenses se han intensificado recientemente, probablemente en respuesta a las hostilidades entre Irán y Estados Unidos e Israel", advirtieron las agencias autoras. El **FBI** ha confirmado que esta actividad resultó en la extracción del archivo de proyecto del dispositivo y la manipulación de datos en pantallas HMI y SCADA. ### PLCs Expuestos: Un Riesgo Significativo La firma de ciberseguridad **Censys** informa que más de 5.200 sistemas de control industrial están expuestos en línea a nivel mundial, con una porción significativa originaria de los Estados Unidos. "Los datos de Censys identifican 5.219 hosts expuestos a Internet a nivel mundial que responden a EtherNet/IP (EIP) y se autodenominan dispositivos de **Rockwell Automation/Allen-Bradley**", declaró Censys. "Estados Unidos representa el 74.6% de la exposición global (3.891 hosts), con una parte desproporcionada en ASNs de operadores celulares, lo que indica dispositivos desplegados en campo a través de módems celulares."  *PLCs de Rockwell/Allen Bradley expuestos a Internet (Censys)* ### Estrategias de Mitigación Para defenderse contra estos ataques en curso, se recomienda a los defensores de la red: * Asegurar los PLCs utilizando un firewall o desconectarlos de Internet. * Escanear registros en busca de signos de actividad maliciosa. * Verificar tráfico sospechoso en puertos OT (especialmente cuando se origina en proveedores de hosting extranjeros). * Implementar autenticación multifactor (MFA) para el acceso a redes OT. * Mantener todos los dispositivos PLC actualizados. * Deshabilitar servicios y métodos de autenticación no utilizados. ### Ecos de Ataques Pasados Esta campaña sigue a ataques similares de hace casi tres años, cuando un grupo de amenazas afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) del Gobierno iraní y rastreado como **CyberAv3ngers** explotó vulnerabilidades en sistemas de tecnología operativa (OT) de **Unitronics** en EE. UU. **CyberAv3ngers** comprometió al menos 75 dispositivos PLC de **Unitronics** entre noviembre de 2023 y enero de 2024, con la mitad de ellos afectando a redes de infraestructura crítica de Sistemas de Agua y Aguas Residuales en los Estados Unidos. Más recientemente, el grupo hacktivista **Handala** (vinculado al Ministerio de Inteligencia y Seguridad de Irán) eliminó aproximadamente 80.000 dispositivos de la red del gigante médico estadounidense **Stryker**, incluidos dispositivos móviles de empleados y computadoras personales gestionadas por la empresa.