WatchGuard Technologies publicó el 28 de mayo de 2026 el informe The WatchGuard Geopolitical Cyber Report, elaborado por su SOC, que analiza cómo los acontecimientos geopolíticos pueden traducirse en un aumento del riesgo cibernético para infraestructuras críticas y entornos de tecnología operacional (OT).
El informe examina la actividad del grupo CyberAv3ngers —también identificado como Shahid Kaveh Group, Storm-0784, Hydro Kitten, UNC5691 o CL-STA-1128—, vinculado a Irán, contra controladores lógicos programables (PLC) y entornos OT en infraestructuras críticas de Norteamérica. La investigación fue desarrollada por Paolo Omezzolli, analista del SOC de WatchGuard en España.
Según el informe, tras la escalada geopolítica analizada se registraron 1.245 ciberataques asociados a 99 actores de amenaza y 14 países. La compañía señala que estos ataques no deben interpretarse como incidentes informáticos convencionales, ya que pueden afectar a sistemas industriales que controlan procesos físicos: el compromiso de un PLC puede alterar el funcionamiento de bombas, válvulas, líneas de producción o sistemas de suministro.
El documento identifica 5.219 hosts expuestos a Internet que responden a EtherNet/IP. La mayoría se encuentran en Estados Unidos, aunque también hay presencia en España, con 110 dispositivos, además de Taiwán e Italia.
Entre los sectores dentro del alcance de la actividad figuran los sistemas de agua y aguas residuales, el sector energético y servicios e instalaciones gubernamentales, con indicios de sondeos en otros sectores manufactureros y dependientes de OT. WatchGuard indica que CyberAv3ngers ha comprometido PLC expuestos a Internet, provocando interrupciones operativas, manipulación de pantallas HMI/SCADA y pérdidas económicas. Los atacantes utilizaron herramientas legítimas de ingeniería para conectarse a los sistemas de las víctimas, lo que dificulta la detección basada únicamente en malware.
Como medidas de mitigación, la compañía recomienda identificar todos los dispositivos OT expuestos a Internet, revisar la superficie de ataque externa, desconectar o aislar mediante firewall los sistemas de control accesibles públicamente, reforzar la autenticación, analizar indicadores de compromiso en registros de red y DNS, segmentar los entornos IT y OT, validar copias de seguridad offline y revisar los planes de respuesta ante incidentes industriales.
El informe concluye que la relación entre geopolítica y ciberseguridad debe tratarse como un factor de riesgo continuo, y no como un episodio aislado vinculado a una crisis concreta.
📬 Newsletter gratuito
Lo más relevante de tecnología y negocios digitales en español — cada día, en cinco minutos.
