El FBI, la Agencia de Ciberseguridad y de Seguridad de las Infraestructuras (CISA), la Agencia de Seguridad Nacional (NSA) y el Departamento de Energía han emitido hoy un aviso conjunto advirtiendo sobre las persistentes actividades maliciosas de grupos de hackers vinculados a Irán.
El informe señala que, desde marzo de 2026, estos grupos han centrado sus ataques en controladores lógicos programables (PLC) conectados a la red en organizaciones de infraestructura crítica. Los sectores afectados incluyen servicios gubernamentales, sistemas de gestión de agua y la industria energética, habiendo provocado ya interrupciones operativas y pérdidas financieras en las entidades afectadas.
“El FBI estima que estos grupos de Amenaza Persistente Avanzada (APT) vinculados a Irán están intentando sabotear infraestructuras críticas mediante el acceso malicioso a archivos de proyectos, la manipulación de interfaces hombre-máquina (HMI) y la alteración de datos en sistemas de supervisión, control y adquisición de datos (SCADA)”, señala el aviso conjunto.
Las autoridades consideran que la frecuencia de estos ataques contra objetivos estadounidenses ha aumentado recientemente, lo que probablemente sea una respuesta directa a la creciente tensión entre Irán, Estados Unidos e Israel. Las investigaciones indican que los atacantes han logrado extraer archivos de proyectos de los dispositivos y manipular los datos de monitoreo que aparecen en las pantallas.
Refuerzo de la defensa en sistemas de control industrial
Anteriormente, en noviembre de 2023, las autoridades ya habían advertido que el grupo de hackers CyberAv3ngers, vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán, había explotado vulnerabilidades en sistemas de tecnología operativa (OT) de Unitronics. Entre noviembre de 2023 y enero de 2024, el grupo comprometió al menos 75 dispositivos PLC, la mitad de los cuales formaban parte de redes de sistemas de agua.
Para prevenir estas amenazas, los expertos en ciberseguridad recomiendan tomar medidas defensivas inmediatas. En primer lugar, se debe desconectar los dispositivos PLC de internet o aislarlos estrictamente mediante cortafuegos. Asimismo, los administradores deben revisar los registros en busca de indicadores de compromiso mencionados en el aviso y monitorear de cerca el tráfico en los puertos OT, especialmente ante conexiones inusuales provenientes de proveedores de servicios de alojamiento extranjeros.
Las autoridades también recomiendan implementar la autenticación de múltiples factores (MFA) para el acceso a redes OT y asegurar que el firmware de los PLC esté actualizado. Todos los servicios no utilizados y las claves de autenticación predeterminadas deben ser deshabilitados para reducir la superficie de ataque.
Más allá de los ataques a infraestructuras, el alcance de las operaciones de los hackers iraníes se ha ampliado recientemente. El mes pasado, el grupo pro-palestino Handala atacó al gigante médico estadounidense Stryker, provocando el borrado de datos en unos 80,000 dispositivos de la red de la empresa, incluidos equipos móviles y computadoras personales de los empleados. El FBI también ha advertido que hackers vinculados al Ministerio de Inteligencia y Seguridad de Irán (MOIS) están utilizando la plataforma Telegram para distribuir malware.
