El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones ha emitido una alerta urgente sobre la detección de actividad informática maliciosa dirigida a dispositivos industriales tipo Programmable Logic Controllers (PLC), atribuidos a grupos de actores de amenaza persistente avanzada (APT) vinculados a Irán, incluyendo a "CyberAv3ngers". Se ofrece una recompensa de $10 millones por información que conduzca a la identificación de este grupo.
Un PLC, o controlador lógico programable, es esencialmente una computadora industrial utilizada para automatizar procesos en tiempo real, como líneas de producción y maquinaria. Estos dispositivos reciben señales de entrada y ejecutan acciones de salida, controlando funciones críticas en diversas industrias. La alerta se dirige específicamente a los directores y jefes de Tecnologías de Información, instándolos a tomar las precauciones necesarias.
Esta advertencia surge un día después de que RSM Defense, una empresa de ciberseguridad, alertara sobre una campaña en curso originada en Irán que busca explotar vulnerabilidades en PLCs expuestos en Internet para interrumpir la infraestructura crítica de Estados Unidos.
Los actores identificados están asociados a grupos como "CyberAv3ngers" (también conocidos como Hydro Kitten o Storm-0784), los cuales se cree están vinculados al IRGC Cyber Electronic Command. Estos grupos han demostrado la capacidad de comprometer sistemas industriales a través de accesos remotos, la explotación de vulnerabilidades conocidas y el uso de una infraestructura maliciosa distribuida.
Según el Ministerio de Ciencia y Tecnología, durante labores de monitoreo e inteligencia de amenazas, se identificó una campaña activa dirigida a sistemas de control industrial (ICS). Esta actividad se desarrolla en un contexto de crecientes tensiones geopolíticas en Medio Oriente, donde históricamente estos actores han priorizado ataques disruptivos contra infraestructura crítica.
La evidencia recopilada indica que múltiples sectores han sido afectados, incluyendo servicios de agua, energía, tecnología, educación y gobierno local, con actividad detectada en diversas regiones. Los ataques ya han resultado en interrupciones operativas reales, confirmando la capacidad de estos actores para impactar procesos físicos.
El Ministerio destaca que los PLCs representan un objetivo crítico debido a que, en muchos entornos, carecen de controles de seguridad modernos, presentan exposición directa a Internet o mantienen conexiones inseguras con redes de Tecnologías de la Información (IT). Esta configuración facilita su explotación mediante técnicas relativamente simples pero efectivas. El compromiso de estos dispositivos puede derivar en afectaciones significativas, incluyendo la interrupción de servicios esenciales, la manipulación de procesos industriales y daños económicos sustanciales.
En este contexto, el Ministerio recomienda reforzar de manera urgente las medidas de seguridad en entornos de tecnología operativa (OT) y validar los indicadores de compromiso asociados a estas amenazas. Investigaciones recientes confirman la explotación activa de PLCs en infraestructuras críticas, principalmente en sectores como el energético, acueductos, manufactura y servicios gubernamentales.
Estas actividades han provocado interrupciones operativas y pérdidas financieras, evidenciando un riesgo elevado para organizaciones que dependen de OT. El Ministerio ha emitido una serie de recomendaciones específicas para mitigar estos riesgos, incluyendo la implementación de segmentación de red, la aplicación de parches de seguridad, el fortalecimiento de la autenticación y la monitorización continua de la actividad de la red.
La alerta subraya la importancia de la colaboración entre el sector público y privado para abordar estas amenazas emergentes. El Ministerio insta a las organizaciones a compartir información sobre incidentes de seguridad y a participar en ejercicios de simulación para mejorar su capacidad de respuesta.
La recompensa de $10 millones ofrecida por información sobre el grupo "CyberAv3ngers" demuestra la seriedad con la que las autoridades están tomando esta amenaza. Se espera que esta iniciativa incentive la cooperación internacional y facilite la identificación y el enjuiciamiento de los responsables de estos ataques.
El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones continuará monitoreando de cerca la situación y proporcionará actualizaciones a medida que haya nueva información disponible. Se insta a todas las organizaciones a tomar las medidas necesarias para proteger sus sistemas y garantizar la continuidad de sus operaciones. La seguridad de la infraestructura crítica es una prioridad nacional, y la colaboración de todos es esencial para hacer frente a esta amenaza creciente.
