Rockwell Automation PLC Cyberattacks: How 4,000 U.S. Industrial Devices Were Exposed in 2026

Ciberataques a PLC de Rockwell Automation: Cómo 4,000 dispositivos industriales en EE. UU. quedaron expuestos en 2026

La automatización industrial enfrenta un riesgo cibernético sin precedentes

Casi 4,000 dispositivos de automatización industrial en EE. UU., principalmente PLCs de Rockwell Automation/Allen‑Bradley, estuvieron expuestos a ciberataques respaldados por el estado iraní desde marzo de 2026. Estos incidentes interrumpieron operaciones, obligaron al control manual y causaron pérdidas financieras en sectores críticos. Además, varias agencias federales confirmaron que grupos APT iraníes explotaron sistemas de control expuestos a internet, manipularon las pantallas HMI/SCADA e intentaron acciones destructivas usando malware wiper. Como resultado, los operadores estadounidenses enfrentan una urgencia creciente para asegurar los activos de automatización de fábricas.

Los atacantes explotan EtherNet/IP e infraestructura expuesta de PLC

La campaña se dirigió a PLCs que se comunican mediante EtherNet/IP, un protocolo ampliamente usado en la automatización de fábricas y las industrias de procesos. Según datos de Censys, se identificaron 5,219 hosts globales como dispositivos Rockwell Automation/Allen‑Bradley, con un 74.6% ubicados en Estados Unidos. Muchos PLCs operaban en redes celulares, lo que indica despliegue en campo con seguridad física limitada. Además, los atacantes usaron técnicas MITRE ATT&CK como Exploit Public‑Facing Application (T1190) y External Remote Services (T1133) para obtener acceso, extraer archivos de proyectos y manipular datos operativos.

Manipulación de pantallas HMI/SCADA interrumpe el control de procesos

Una vez dentro del entorno PLC, los atacantes alteraron las pantallas HMI y SCADA, afectando la visibilidad del proceso y obligando a los operadores a cambiar a operación manual. Esta actividad se alinea con Impair Process Control (T0813) y Stored Data Manipulation (T1565.001). Por lo tanto, las instalaciones afectadas enfrentaron mayores riesgos de seguridad e inestabilidad operativa. Basado en mi experiencia con la puesta en marcha de DCS y PLC, los valores de proceso manipulados pueden engañar a los operadores y causar intervenciones manuales incorrectas, especialmente en sistemas de tratamiento de agua y energía.

Intentos de malware wiper evidencian intención destructiva

La campaña incluyó intentos de desplegar malware wiper diseñado para eliminar datos operativos. Aunque no está claro el éxito de estos intentos, ataques similares ocurrieron semanas antes, incluyendo el incidente de marzo de 2026 en Stryker, donde aproximadamente 80,000 dispositivos fueron borrados. Este patrón muestra que los actores de amenaza poseen tanto la capacidad como la intención de causar resultados destructivos en entornos industriales. Además, su comprensión de las configuraciones de PLC sugiere un conocimiento profundo de protocolos industriales y lógica de seguridad.

La línea de tiempo muestra una rápida escalada de amenazas cibernéticas industriales

La secuencia de ataques escaló rápidamente:

  • Marzo 2026: Ataques a gran escala contra PLCs Rockwell expuestos a internet.

  • 7 de abril de 2026: Aviso conjunto federal emitido por CISA, FBI, NSA, DOE, EPA y U.S. Cyber Command.

  • 10 de abril de 2026: Reportes públicos confirman exposición generalizada y actividad de amenaza en curso.

Campañas previas atacaron PLCs Unitronics entre 2023 y 2024, comprometiendo sistemas de agua y aguas residuales. Por lo tanto, los ataques de 2026 representan una continuación del interés iraní a largo plazo en entornos ICS.

La actividad de amenaza muestra profundo conocimiento de ICS

Las agencias federales atribuyen los ataques a grupos APT iraníes con alta confianza. Sus tácticas incluyen escanear PLCs expuestos, explotar protocolos de acceso remoto, extraer archivos de proyectos, manipular datos de proceso e intentar desplegar malware destructivo. La campaña es oportunista, apuntando a cualquier dispositivo accesible en lugar de organizaciones específicas. Como resultado, todos los operadores con PLCs expuestos enfrentan un riesgo elevado. Los sectores más afectados incluyen petróleo y gas, agua y aguas residuales, energía y servicios gubernamentales.

Acciones de mitigación para operadores de PLC y sistemas de control

Las acciones defensivas críticas incluyen:

  • Desconectar los PLCs de internet público para eliminar la exposición directa.

  • Aplicar MFA para todo acceso a la red OT.

  • Actualizar el firmware de los PLCs y deshabilitar servicios no usados.

  • Monitorear logs continuamente para conexiones remotas sospechosas.

  • Fortalecer planes de respuesta a incidentes para contención rápida.

  • Capacitar al personal OT en despliegue seguro de PLCs y riesgos de exposición a internet.

Estas recomendaciones están alineadas con las directrices federales y las mejores prácticas para asegurar sistemas de control industrial.

Escenarios de aplicación — Fortaleciendo la seguridad ICS en entornos de automatización

  • Despliegue seguro de PLCs usando firewalls y redes OT segmentadas.

  • Monitoreo continuo del tráfico EtherNet/IP para detectar anomalías.

  • Verificación de integridad HMI/SCADA para detectar valores de proceso manipulados.

  • Planificación de recuperación ante desastres para posibles incidentes con malware wiper.

  • Control de acceso de confianza cero para mantenimiento remoto de activos PLC y DCS.

Sobre el autor 

Chen Yuhang es un especialista senior en automatización industrial con más de 15 años de experiencia práctica en PLC, DCS, TSI y sistemas de protección eléctrica. Su trabajo se centra en la implementación de ingeniería, el fortalecimiento de la ciberseguridad OT y la documentación técnica para fabricantes globales de automatización y medios industriales.

Dejar un comentario

Ten en cuenta que los comentarios deben ser aprobados antes de ser publicados.

  • Envío Exprés
    Entrega rápida para satisfacer necesidades urgentes.

  • Inventario Extenso

    Un amplio stock garantiza disponibilidad inmediata.

  • Aseguramiento de la Calidad

    Repuestos genuinos y de alta calidad para PLC y DCS.

  • Servicio Global

    Atendiendo a clientes en todo el mundo con soporte confiable.