Alerta de intrusiones OT: actores iraníes interfieren con PLCs en agua y energía de EE. UU., advierte el FBI

Las intrusiones OT en PLCs Allen-Bradley se están intensificando en infraestructuras críticas de Estados Unidos, según una alerta conjunta en la que participan el FBI y varias agencias de defensa cibernética. El aviso sostiene que actores afiliados a Irán están accediendo a controladores industriales expuestos a Internet para provocar disrupciones, incluyendo manipulación de project files y alteración de datos mostrados en HMI y SCADA, con víctimas que ya habrían sufrido interrupciones operativas y pérdidas financieras.

La comunicación oficial enmarca esta actividad como una campaña activa desde marzo y enfocada en dispositivos de Operational Technology (OT), con especial atención a los programmable logic controllers (PLCs) de Rockwell Automation (Allen-Bradley), muy presentes en procesos industriales de tratamiento de agua, producción alimentaria, refino, redes eléctricas y otras operaciones críticas.

Intrusiones OT en PLCs Allen-Bradley: qué dicen FBI y CISA

El texto describe una operativa orientada a sistemas “internet-exposed”, donde los atacantes buscan interactuar de forma maliciosa con los entornos industriales: desde modificar archivos de proyecto hasta manipular información visualizada en paneles de HMI y pantallas SCADA. La alerta indica que estos PLCs se desplegaron “a través de múltiples sectores de infraestructura crítica” y en una “amplia variedad” de procesos de automatización industrial, lo que eleva el riesgo de impacto transversal.

El FBI no detalló públicamente el alcance exacto de las disrupciones reportadas. No obstante, un analista de amenazas citado por el medio de origen confirmó que los atacantes vinculados a Irán estarían buscando “oportunidades para interrumpir utilities” tanto en Estados Unidos como en Oriente Medio.

De contraseñas por defecto a campañas más amplias sobre IT y OT

El aviso subraya una evolución frente a incidentes previos atribuidos a grupos iraníes. En 2023, las autoridades estadounidenses relacionaron intrusiones en instalaciones de agua con el uso de credenciales por defecto en PLCs accesibles desde Internet, y en 2024 se reportó el uso de malware a medida contra PLCs, HMIs y otros dispositivos OT para control remoto de sistemas de agua y gestión de combustible.

Según la valoración citada de Check Point Research, la escalada seguiría un “playbook” conocido: aumentar velocidad, ampliar superficie y apuntar simultáneamente a entornos IT y OT. En paralelo, la firma aseguró haber observado targeting “idéntico” contra PLCs en Israel en el último mes, en un contexto donde utilities y energía se mantienen como sectores altamente presionados por actividad maliciosa.

Qué tecnologías industriales se ven afectadas

El foco de la alerta se centra en automatización industrial y visibilidad operativa: PLCs (en particular, Rockwell Automation/Allen-Bradley), HMIs y pantallas/entornos SCADA. En entornos industriales, estos componentes forman parte de cadenas de control que, si quedan expuestas a Internet o mal segmentadas, pueden facilitar acceso no autorizado y manipulación del proceso.

Recomendaciones destacadas por las agencias y el fabricante

Las agencias firmantes señalan medidas de endurecimiento como patching, activación de multi-factor authentication donde aplique y, sobre todo, evitar exponer OT crítico a Internet. Además, recomiendan que los operadores con PLCs Rockwell/Allen-Bradley revisen la guía del proveedor, que incluye desconectar dispositivos conectados a Internet.

El aviso también menciona la revisión de logs y la búsqueda de tráfico sospechoso en puertos asociados a OT, citando 44818, 2222, 102 y 502, especialmente cuando el origen se asocia a proveedores de hosting internacionales.

Fuentes oficiales para ampliar información: la alerta de CISA (AA26-097A) en cisa.gov y la guía del fabricante Rockwell Automation en rockwellautomation.com.

En términos de riesgo sectorial, la advertencia refuerza que las intrusiones OT en PLCs Allen-Bradley ya no son un escenario teórico: la combinación de exposición a Internet, controles débiles y targeting deliberado contra HMI/SCADA incrementa la probabilidad de disrupciones operativas con impacto real en agua y energía.