Hackers iraníes vuelven a atacar PLCs de agua y energía en EE. UU.: el grupo que tumbó a un pueblo de Pensilvania regresa más letal

Publicado por Clara Vásquez en

⏱️ Lectura: 7 min

Resumen ejecutivo: El 7 de abril de 2026, seis agencias estadounidenses —FBI, CISA, NSA, EPA, DOE y el Comando Cibernético— emitieron una advertencia urgente conjunta: hackers afiliados al régimen iraní están comprometiendo controladores industriales (PLCs) de Rockwell Automation expuestos a internet en plantas de agua, energía y gobiernos municipales de EE. UU. La actividad lleva activa desde al menos marzo de 2026 y ya ha provocado disrupciones operativas reales y pérdidas financieras. No es la primera vez que estos actores cruzan la línea: en noviembre de 2023, el mismo grupo dejó sin agua a parte del condado de Beaver, en Pensilvania.

📑 En este artículo
  1. ¿Qué dice el advisory?
  2. La precuela: Aliquippa, Pensilvania, noviembre de 2023
  3. Quiénes son: el IRGC y los Cyber Av3ngers
  4. Anatomía técnica del ataque
    1. Acceso inicial
    2. Vulnerabilidad de referencia
    3. Tácticas observadas (mapeo MITRE ATT&CK)
    4. Malware identificado
  5. IOCs verificados
  6. Por qué esto importa más allá de EE. UU.
  7. Cómo protegerse: recomendaciones operativas
  8. Lectura geopolítica
  9. Fuentes

¿Qué dice el advisory?

El advisory AA26-097A, publicado por CISA con coautoría de FBI, NSA, EPA, DOE y el Cyber National Mission Force (CNMF) del U.S. Cyber Command, alerta sobre una operación coordinada de un grupo APT iraní contra controladores lógicos programables (PLCs) Rockwell Automation / Allen-Bradley accesibles desde internet.

Los atacantes manipulan los archivos de proyecto del PLC y alteran los datos mostrados en interfaces hombre-máquina (HMI) y sistemas SCADA. En palabras del propio advisory: “esta actividad ha causado disrupciones de PLCs en varios sectores de infraestructura crítica de EE. UU… resultando en disrupción operativa y pérdida financiera”.

Sectores ya afectados:

  • Servicios y dependencias gubernamentales (incluidos municipios)
  • Sistemas de agua potable y aguas residuales (WWS)
  • Sector energético

La precuela: Aliquippa, Pensilvania, noviembre de 2023

Para entender la gravedad del aviso de 2026 hay que mirar lo que pasó hace dos años en un pueblo pequeño del oeste de Pensilvania.

El 25 de noviembre de 2023, la Municipal Water Authority of Aliquippa sufrió un ataque que comprometió una estación de bombeo encargada de regular la presión del suministro de agua para los municipios vecinos de Raccoon Township y Potter Township, con una población combinada de poco más de 7,000 personas.

Según The Hacker News, los atacantes —el mismo grupo que protagoniza la alerta actual— accedieron a un PLC Unitronics Vision Series con HMI que estaba expuesto a internet con contraseña débil. Tras la intrusión, la pantalla del controlador mostró el mensaje: “Every Equipment ‘Made In Israel’ Is Cyber Av3ngers Legal Target”.

La planta detectó el ataque rápidamente, desconectó el PLC y pasó a operación manual. Según el reporte de la CCDCOE Cyber Law, no hubo daños reportados a los residentes ni al suministro de agua potable. CISA emitió en su momento un aviso público urgiendo a todas las plantas hídricas a cambiar contraseñas por defecto y desconectar los PLCs de internet.

Aliquippa fue solo un símbolo: el mismo grupo reclamó haber comprometido “hasta 10 estaciones de tratamiento de agua en Israel” y atacó a Orpak Systems, el principal proveedor de soluciones para gasolineras del país.

Quiénes son: el IRGC y los Cyber Av3ngers

El advisory de 2026 atribuye la actividad a un grupo APT afiliado al Cyber Electronic Command (CEC) del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). La industria privada y fuentes abiertas conocen al actor por más de una decena de alias:

  • CyberAv3ngers (autoetiqueta del grupo)
  • Hydro Kitten
  • Storm-0784 (Microsoft)
  • APT Iran
  • Bauxite
  • UNC5691 (Mandiant)
  • Mr. Soul, Soldiers of Solomon
  • Shahid Kaveh Group

Su patrón es consistente desde 2023: explotación de equipos de control industrial expuestos —preferentemente de fabricación israelí o que operen plantas vinculadas a Israel— como represalia simbólica y operacional. La escalada actual, según el advisory, “probablemente responde a las hostilidades entre Irán, EE. UU. e Israel”.

Anatomía técnica del ataque

Acceso inicial

Los actores acceden a PLCs Rockwell Allen-Bradley directamente desde internet usando direcciones IP en el extranjero. Técnica MITRE ATT&CK: T0883 — Internet Accessible Device (ICS).

Vulnerabilidad de referencia

Rockwell ya había publicado guía sobre CVE-2021-22681, una falla de bypass de autenticación en controladores Logix descubierta en 2021. Aunque el advisory no la confirma como vector único, sí remite a la guía PN1550 de Rockwell sobre esta CVE como mitigación obligatoria.

Tácticas observadas (mapeo MITRE ATT&CK)

Tactic Technique Framework
Initial Access T0883 — Internet Accessible Device ICS
Initial Access TA0001 — Initial Access Enterprise
Command & Control T0885 — Commonly Used Port ICS
Command & Control TA0011 — Command and Control Enterprise
Inhibit Response Function T0809 — Data Destruction ICS
Impact T1565.001 — Stored Data Manipulation Enterprise
Impact T1491.001 — Internal Defacement Enterprise
Impact TA0040 — Impact Enterprise

Malware identificado

El bundle STIX oficial del advisory lista una familia: Dropbear —una implementación SSH ligera, legítima en sistemas embebidos pero reutilizada como puerta trasera en los dispositivos comprometidos.

IOCs verificados

CISA publicó ocho indicadores de compromiso en el bundle STIX. Siete de las ocho IPs pertenecen al mismo bloque 185.82.73.0/24, fuerte indicador de un hosting dedicado del actor. La octava (135.136.1.133, agregada el 1 de abril de 2026) sugiere rotación reciente:

185.82.73.162   (válida desde 2026-03-06)
185.82.73.164   (válida desde 2026-03-06)
185.82.73.165   (válida desde 2026-03-06)
185.82.73.167   (válida desde 2026-03-06)
185.82.73.168   (válida desde 2026-04-01)
185.82.73.170   (válida desde 2026-03-06)
185.82.73.171   (válida desde 2026-03-06)
135.136.1.133   (válida desde 2026-04-01)

Los archivos descargables están disponibles en formato STIX XML y STIX JSON para integración directa en SIEM/SOAR.

Por qué esto importa más allá de EE. UU.

Aunque el advisory enumera víctimas estadounidenses, los PLCs Rockwell Allen-Bradley son estándar global en automatización industrial. Cualquier planta de agua, subestación eléctrica o instalación gubernamental en América Latina, Europa o Asia que tenga PLCs Logix expuestos a internet es un objetivo equivalente.

El precedente de Unitronics demuestra que el actor no discrimina por geografía cuando el objetivo simbólico (relación con Israel, infraestructura crítica) lo justifica.

Cómo protegerse: recomendaciones operativas

CISA y Rockwell coinciden en cinco acciones inmediatas:

  1. Desconectar los PLCs de internet directo. Si requieres acceso remoto, hazlo a través de VPN con MFA obligatorio, nunca con port forwarding al PLC.
  2. Cambiar todas las contraseñas por defecto —incluidas las de cuentas administrativas y de servicio. CyberAv3ngers entró a Aliquippa porque la contraseña era la de fábrica.
  3. Aplicar la guía SD1771 de Rockwell (Rockwell Automation SD1771) sobre hardening de PLCs.
  4. Revisar la guía PN1550 asociada a CVE-2021-22681 para parchear el bypass de autenticación en Logix.
  5. Cargar los IOCs STIX en tu SIEM: las 8 IPs y los hashes de Dropbear como reglas de detección y bloqueo en firewall perimetral.

Para empresas con OT/ICS, el equipo PSIRT de Rockwell recibe reportes y consultas; CISA mantiene además la página Iran Threat Overview con todos los advisories activos.

Lectura geopolítica

Esta operación no es aislada: el mismo 7 de abril de 2026, NSA y FBI emitieron una segunda alerta —esta vez sobre el GRU ruso comprometiendo routers TP-Link domésticos en una campaña de DNS hijacking global. La coincidencia temporal sugiere que ambas potencias están escalando operaciones cibernéticas en paralelo: Irán contra infraestructura operacional (control directo sobre procesos físicos), Rusia contra infraestructura de borde (recolección masiva e interceptación TLS).

Para los defensores, la lección es clara: el perímetro de internet de una organización ya no termina en el firewall corporativo —incluye cada PLC, cada router, cada IoT industrial que alguien dejó “temporalmente” expuesto.

Fuentes

Categorías: Seguridad

Clara Vásquez

Analista de ciberseguridad enfocada en vulnerabilidades críticas, zero-days y amenazas emergentes. Cubre CVEs de alto impacto, análisis de malware, incidentes de ransomware y tendencias de seguridad para LATAM.

0 Comentarios

Deja un comentario

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Entradas relacionadas

Imagen ilustrativa: El GRU ruso secuestra routers TP-Link domésticos en una operación global: NSA y 16 países urgen rein
Seguridad

El GRU ruso secuestra routers TP-Link domésticos en una operación global: NSA y 16 países urgen reiniciar el tuyo

En un movimiento sin precedentes por su amplitud diplomática, el PSA del FBI I-260407 fue cosellado por:

Captura conceptual del experimento de Hacktron donde Claude Opus genera un exploit para Chrome V8
Seguridad

Claude Opus 4.6 escribió un exploit funcional para Chrome V8 por $2,283

La firma de seguridad Hacktron consiguió que Claude Opus 4.6 produjera un exploit funcional contra el motor V8 de Chrome gastando solo $2,283 en API. El experimento marca el nacimiento del vibe coding aplicado a la ofensiva.

Dashboard de monitoreo detectando explotación de CVE-2026-40372 en ASP.NET Core
Seguridad

CVE-2026-40372: parche de emergencia de Microsoft para ASP.NET Core Data Protection

Microsoft publicó parche out-of-band el 21 de abril de 2026 para CVE-2026-40372 (CVSS 9.1) en ASP.NET Core Data Protection. Una regresión en el managed authenticated encryptor permite forjar payloads autenticados sin conocer las llaves. Afecta versiones 10.0.0 a 10.0.6 en Windows, macOS y Linux.