Ataques iraníes a infraestructura crítica de EE. UU. ponen en la mira 3,900 dispositivos.

⟫ 09/04/2026 ⟫ Matt Kapko

Fuente: CyberScoop

**La Amenaza de los Ataques Cibernéticos Iranians a Infraestructura Crítica de EE. UU.: Un Análisis Profundo**

En los últimos meses, el ciberespionaje respaldado por el estado iraní ha suscitado serias preocupaciones en torno a la seguridad de la infraestructura crítica de Estados Unidos. Un análisis reciente realizado por la firma de ciberseguridad Censys ha revelado que más de 5,200 dispositivos conectados a internet podrían estar expuestos a ataques provenientes de actores estatales iraníes. Este fenómeno no solo pone en riesgo la integridad de las instalaciones, sino que también puede tener repercusiones económicas y operativas para numerosas industrias y sectores vitales en el país. La importancia de esta situación radica en que la infraestructura crítica abarca sistemas que son esenciales para el funcionamiento diario de la sociedad, incluyendo la energía, el agua potable y las operaciones gubernamentales.

Censys identificó que aproximadamente 3,900 de los controladores lógicos programables (PLC) fabricados por Rockwell Automation/Allen-Bradley, y que podrían estar expuestos a estos atacantes, se encuentran en territorio estadounidense. Esta cifra alarmante representa alrededor del 75% de los dispositivos señalados, lo que indica una concentración preocupante de vulnerabilidades en el país. La detección de estos dispositivos se realizó a partir de información compartida por varias agencias federales en un aviso conjunto emitido a principios de esta semana, que incluyó indicadores de compromiso como direcciones IP de los operadores y otras consultas de caza de amenazas.

Los ataques perpetrados por estos actores respaldados por el gobierno iraní han sido dirigidos a dispositivos que controlan procesos de automatización industrial, causando interrupciones en múltiples sectores. Algunos de los afectados han reportado pérdidas financieras significativas a consecuencia de estas intrusiones, lo que resalta la gravedad del problema. Los dispositivos de tecnología operativa implicados están desplegados en sectores esenciales como la energía, los sistemas de agua y aguas residuales, así como en servicios y facilidades gubernamentales de EE. UU.

Tras el aviso conjunto emitido por el FBI, la Agencia de Seguridad Nacional (NSA), la Agencia de Ciberseguridad e Infraestructura (CISA), la Agencia de Protección Ambiental (EPA), el Departamento de Energía y el Comando Cibernético de EE. UU., Censys llevó a cabo un escaneo que reveló la existencia de 5,219 hosts de PLC de Rockwell Automation/Allen-Bradley expuestos a internet. Estos escaneos mostraron que la mayoría de los dispositivos expuestos están conectados a través de sistemas celulares, lo que plantea un riesgo significativo para las implementaciones remotas. Aproximadamente el 50% de los dispositivos a nivel global están conectados a la red inalámbrica de Verizon, mientras que el 13% se conecta a la infraestructura de AT&T.

Los investigadores de Censys argumentan que "es casi seguro que estos dispositivos están desplegados en infraestructuras físicas (estaciones de bombeo, subestaciones, instalaciones municipales) con módems celulares como su único camino de internet". Este contexto resalta la vulnerabilidad inherente de estos sistemas, que dependen de conexiones que pueden ser fácilmente interceptadas o manipuladas.

El riesgo se amplifica aún más debido a la exposición de servicios adicionales en otros puertos de estos dispositivos. Censys advierte que esto podría permitir a los atacantes acceder a operaciones más allá de la explotación de los PLC, lo que amplía considerablemente la superficie de ataque. Los investigadores realizaron un perfil de los modelos MicroLogix y CompactLogix expuestos a la reciente campaña de amenazas, publicando una lista de los 15 productos más vulnerables. Muchos de estos dispositivos operan con software que ha llegado al final de su vida útil, lo que representa un riesgo adicional que podría permitir a los atacantes priorizar dispositivos no parcheados durante sus escaneos.

Los ataques cibernéticos asociados con el estado iraní se remontan al menos hasta marzo, en un contexto marcado por el conflicto entre EE. UU. e Israel contra Irán. Durante este tiempo, otros atacantes respaldados por el gobierno iraní han reclamado víctimas adicionales, entre ellas la empresa Stryker y varias administraciones locales. Esto indica una estrategia más amplia de agresión cibernética que no solo afecta a entidades gubernamentales, sino también a empresas privadas y a infraestructuras críticas.

La magnitud de la amenaza que representan estos ataques es innegable, y las consecuencias pueden ser devastadoras si no se toman medidas adecuadas para mitigar los riesgos. Las organizaciones deben adoptar un enfoque proactivo en la defensa de sus sistemas, garantizando que todos los dispositivos estén actualizados con los últimos parches de seguridad y configurando las medidas de seguridad necesarias para proteger la infraestructura crítica. Además, es imperativo que se realicen auditorías de seguridad continuas y que se fomente una cultura de ciberseguridad dentro de las organizaciones para prevenir futuros incidentes. La colaboración entre agencias gubernamentales y el sector privado también se vuelve esencial para compartir información sobre amenazas y mejorar las capacidades de respuesta ante incidentes.

En resumen, la situación actual exige atención urgente y una respuesta coordinada para salvaguardar la infraestructura crítica de Estados Unidos frente a la amenaza persistente de ataques cibernéticos respaldados por el estado iraní. La protección de estos sistemas es vital no solo para la seguridad nacional, sino también para la estabilidad económica y social del país.

◢ VULNERABILIDADES ◣

Iranian attacks on US critical infrastructure puts 3,900 devices in crosshairs

⟫ 09/04/2026 ⟫ Matt Kapko

Source: CyberScoop

The fallout and potential exposure from Iran’s state-backed targeting of U.S. critical infrastructure extends to more than 5,200 internet-connected devices, researchers at Censys said in athreat intelligence briefWednesday. Of the programmable logic controllers manufactured by Rockwell Automation/Allen-Bradley that Censys identified as potentially exposed to Iranian government attackers, nearly 3,900, or about 3 out of every 4, are based in the United States. The cybersecurity firm identified the devices based on details multiple federal agencies shared in ajoint alertTuesday, and published additional indicators of compromise, including operator IPs and other threat hunting queries. Federal authorities earlier this week warned that Iranian government attackers have exploited devices that control industrial automation processes anddisrupted multiple sectorsduring the past month. Some victims also experienced financial losses as a result of the attacks, officials said. The operational technology devices are deployed across the energy sector, water and wastewater systems, and U.S. government services and facilities. Censys scans spotted 5,219 internet-exposed Rockwell Automation/Allen-Bradley PLC hosts shortly after the joint alert was issued by the FBI, National Security Agency, Cybersecurity and Infrastructure Security Agency, Environmental Protection Agency, Energy Department and U.S. Cyber Command. Researchers at Censys determined most of the exposed devices are connected via cellular systems, posing a significant risk to remote field deployments. Nearly half of the devices globally are connected to Verizon’s wireless network and 13% are connected to AT&T’s infrastructure. “These devices are almost certainly field-deployed in physical infrastructure (pump stations, substations, municipal facilities) with cellular modems as their sole internet path,” Censys researchers wrote in the report. The potential attack surface is also amplified by additional services exposed in other ports on these devices, a discovery that Censys warned could allow attackers to gain direct paths to operations beyond PLC exploitation. Researchers fingerprinted MicroLogix and CompactLogix models exposed to the latest threat campaign and published a list of the 15 most-exposed products. Many of the most prominent devices are running end-of-life software, a compounding risk that could allow attackers to prioritize unpatched devices upon scanning, according to Censys. The attacks date back to at least March, following the U.S. and Israel’s war against Iran, and were underway as other Iranian government-backed attackers claimed other victims, includingStrykerand local governments. The postIranian attacks on US critical infrastructure puts 3,900 devices in crosshairsappeared first onCyberScoop.

← VOLVER A CIBERSEGURIDAD