Hackers se colaron en la red por una cámara de vigilancia y accedieron a una central eléctrica: la irónica realidad de la seguridad moderna
Los servicios de inteligencia de EE. UU. acusan a Irán de perpetrar ataques masivos contra la infraestructura hídrica estadounidense.
Mientras algunos grupos cibernéticos se limitan a declaraciones ruidosas, otros cambian silenciosamente las reglas del juego. El grupo iraní CyberAv3ngers en un par de años pasó de hackear paneles en servicios de agua a atacar equipos industriales de los que depende el funcionamiento de las ciudades.
El boletín conjunto del FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. y la Agencia de Seguridad Nacional de EE. UU. confirma: actores vinculados a Irán atacan activamente controladores lógicos programables accesibles desde internet. Se trata de activos clave: abastecimiento de agua, energía e instituciones gubernamentales. Varias organizaciones ya han sufrido interrupciones en el servicio y pérdidas económicas.
Las autoridades de EE. UU. vinculan la campaña con CyberAv3ngers, un grupo que opera bajo el control de la unidad cibernética del Cuerpo de la Guardia Revolucionaria Islámica. A pesar de la apariencia de “activistas”, detrás de las operaciones están recursos estatales y coordinación. En febrero de 2024 el Departamento del Tesoro de EE. UU. impuso sanciones contra seis personas implicadas, y el Departamento de Estado ofreció hasta 10 millones de dólares por información sobre participantes clave.
El grupo no es nuevo, pero se ha fortalecido. En 2023 los atacantes vulneraron masivamente controladores de fabricación israelí usando contraseñas predeterminadas. Entonces resultaron afectados decenas de instalaciones, incluido un servicio de agua en Pensilvania. Ya en 2024 CyberAv3ngers pasó a usar su propio software malicioso IOCONTROL, diseñado para equipos industriales y de red: desde cámaras y enrutadores hasta sistemas de control de procesos.
Para 2026 los ataques se volvieron aún más serios. Los atacantes empezaron a explotar la vulnerabilidad CVE-2021-22681 en controladores Rockwell Automation. El fallo permite eludir la autenticación y conectarse al dispositivo sin contraseña. El problema es que no existe un parche: el fabricante solo ofrece medidas mitigadoras a nivel de arquitectura de red.
A través de esos ataques los atacantes obtienen acceso al control de procesos: pueden cambiar configuraciones, interferir con el funcionamiento de los sistemas y falsificar datos en las pantallas de los operadores. En varios casos las consecuencias ya han trascendido el ámbito digital y han afectado procesos reales.
Una línea aparte en el trabajo de CyberAv3ngers es la presión informativa. El grupo publica regularmente declaraciones sobre intrusiones, muchas de las cuales no se confirman. Por ejemplo, en 2023 los atacantes afirmaron haber comprometido una central eléctrica israelí, pero luego se descubrió que las “pruebas” utilizadas provenían de una filtración antigua de otro grupo y simplemente fueron reutilizadas.
El objetivo principal de los ataques son los activos de infraestructura crítica. Con mayor frecuencia sufren pequeñas empresas de servicios públicos y servicios municipales. La razón es sencilla: esas organizaciones con frecuencia conectan equipos directamente a internet o utilizan herramientas sencillas de acceso remoto sin protección adecuada. Como resultado, los controladores quedan accesibles desde el exterior sin barreras significativas.
La situación se agrava por la débil segmentación de redes. Cuando el equipo industrial funciona en la misma red que las computadoras de oficina, la intrusión se propaga con rapidez. Según estimaciones de agencias estadounidenses, más del 70% de los servicios de agua no cumplen los requisitos básicos de seguridad.
Otro problema es el “efecto enjambre”. Los métodos de CyberAv3ngers ya han sido adoptados por más de 60 grupos vinculados. Aunque el equipo original se debilite, los ataques continuarán. Además aumenta el riesgo de errores: participantes menos experimentados pueden interferir en el funcionamiento de los sistemas y provocar consecuencias impredecibles. Según las agencias estadounidenses, la situación actual se ha convertido en una de las más tensas registradas. Los atacantes disponen tanto de herramientas como de vulnerabilidades sin parchear, y muestran un interés claro en interrumpir la infraestructura.