Madrid, 28 de mayo de 2026 – WatchGuard® Technologies, líder global en ciberseguridad unificada para proveedores de servicios gestionados (MSP), ha publicado The WatchGuard Geopolitical Cyber Report, un nuevo informe de inteligencia de amenazas que analiza cómo los acontecimientos geopolíticos pueden traducirse en un incremento directo del riesgo cibernético para infraestructuras críticas.
El informe examina la actividad de CyberAv3ngers, también conocido como Shahid Kaveh Group, Storm-0784, Hydro Kitten, UNC5691 o CL-STA-1128, un grupo vinculado a Irán, contra controladores lógicos programables (PLC) y entornos de tecnología operacional (OT) en infraestructuras críticas de Norteamérica. Aunque el análisis se centra en esta región, las tácticas observadas son relevantes para organizaciones de otros mercados con entornos OT expuestos a Internet.
La investigación ha sido desarrollada por Paolo Omezzolli, analista SOC de WatchGuard en el SOC de España, que investiga incidentes de seguridad, apoya la elaboración de informes de alertas para clientes y desarrolla inteligencia de amenazas centrada en el contexto geopolítico de las campañas cibernéticas modernas.
El ciberespacio como extensión de la tensión geopolítica
El análisis se enmarca en un contexto internacional marcado por el aumento de las tensiones geopolíticas y la consolidación del ciberespacio como un frente adicional de confrontación. Según recoge el informe, tras la escalada geopolítica analizada se registraron 1.245 ciberataques asociados a 99 actores de amenaza y 14 países, lo que refleja cómo las crisis internacionales están teniendo una traslación cada vez más directa al ámbito digital.
Una de las principales conclusiones del informe es que los ataques contra entornos OT no deben interpretarse como incidentes informáticos convencionales. WatchGuard advierte de que este tipo de campañas ya no buscan únicamente robar información, cifrar datos o interrumpir servicios digitales, sino que pueden afectar a sistemas industriales que controlan procesos físicos. En el caso de los PLC, un compromiso puede alterar el funcionamiento de bombas, válvulas, líneas de producción o sistemas de suministro, con posibles consecuencias sobre la continuidad operativa y los servicios esenciales.
El informe también llama la atención sobre la exposición global de estos dispositivos. Según la investigación, existen 5.219 hosts expuestos a Internet que responden a EtherNet/IP. Aunque la mayoría se encuentran en Estados Unidos, el informe también identifica presencia en España, con 110 dispositivos, además de otros países como Taiwán e Italia.
Sectores afectados y principales hallazgos
Entre los sectores afectados o dentro del alcance de esta actividad están los sistemas de agua y aguas residuales, entidades del sector energético, servicios e instalaciones gubernamentales, así como indicios de sondeos en otros sectores manufactureros y dependientes de OT mediante la selección de puertos específicos.
Entre los principales hallazgos, WatchGuard destaca que CyberAv3ngers ha comprometido PLC expuestos a Internet y que la campaña ya ha provocado interrupciones operativas, manipulación de pantallas HMI/SCADA y pérdidas económicas en las organizaciones afectadas. El informe también subraya que los atacantes han utilizado herramientas legítimas de ingeniería para establecer conexiones con los sistemas de las víctimas, lo que dificulta la detección mediante enfoques tradicionales basados únicamente en malware.
La investigación señala que cualquier organización con tecnología OT expuesta a Internet debe considerarse dentro del alcance potencial de esta amenaza y evaluar su exposición de forma prioritaria, especialmente si opera dispositivos accesibles desde la red pública o servicios asociados a puertos industriales utilizados habitualmente en estos entornos.
Recomendaciones de mitigación
WatchGuard recomienda a las organizaciones identificar todos los dispositivos OT expuestos a Internet, revisar su superficie de ataque externa, desconectar o aislar mediante firewall los sistemas de control accesibles públicamente, reforzar la autenticación, analizar indicadores de compromiso en registros de red y DNS, segmentar los entornos IT y OT, validar copias de seguridad offline y revisar los planes de respuesta ante incidentes específicos para escenarios industriales.
El informe concluye que la relación entre geopolítica y ciberseguridad debe tratarse como un factor de riesgo continuo, no como un episodio aislado vinculado a una crisis concreta. Para WatchGuard, la visibilidad continua, la reducción de la exposición, la segmentación y la capacidad de respuesta serán claves para proteger infraestructuras críticas frente a campañas cada vez más sofisticadas y con impacto potencial en el mundo físico.