El Instituto Nacional de Ciberseguridad (INCIBE) ha emitido un aviso urgente el martes 1 de julio de 2026 tras identificar 20 vulnerabilidades en productos del fabricante Balluff, nueve de ellas de severidad crítica, que afectan a dispositivos de control industrial ampliamente utilizados en plantas de fabricación y automatización.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE ha detectado 20 vulnerabilidades, 9 críticas y 11 altas, en dos modelos de dispositivos Balluff: BNI EGW-720-007-K095 y BAV MA-NC-00025-01.
- ¿Cuál es el riesgo? Las vulnerabilidades permitirían a un atacante ejecutar código de forma remota, elevar privilegios, provocar denegación de servicio o acceder a información sensible de los sistemas de control industrial.
- ¿Qué solución hay? Balluff ha publicado la versión de firmware 2.4.1 o superior que corrige todos los fallos. Se recomienda la actualización inmediata.
El aviso, identificado como INCIBE-2026-467 y catalogado como SCI (Sistemas de Control Industrial), detalla que las vulnerabilidades afectan a los modelos BNI EGW-720-007-K095 y BAV MA-NC-00025-01 en todas las versiones de firmware anteriores a la 2.4.1. Estos dispositivos son pasarelas de comunicación que integran sensores y actuadores en redes industriales, un componente crítico para la supervisión y control de procesos productivos.
Detalles de las 20 vulnerabilidades: 9 críticas y 11 altas
Las nueve vulnerabilidades críticas y once altas reportadas por Balluff cubren un abanico de fallos que van desde la validación de certificados TLS hasta la gestión de identidades y la ejecución de código arbitrario. Según el aviso del INCIBE, un atacante podría aprovechar estos fallos sin necesidad de autenticación previa en algunos casos, comprometiendo la integridad de la comunicación en redes de control industrial. En concreto, los sistemas de control industial (SCI) se convierten en el blanco prioritario.
Entre las más graves destaca la vulnerabilidad CVE-2025-68121, que afecta al proceso de reanudación de sesiones TLS, permitiendo que una conexión se restablezca con un cliente o servidor no válido y abriendo la puerta a escenarios de suplantación. La CVE-2026-1229, por su parte, involucra un fallo en el cálculo de operaciones criptográficas sobre curvas elípticas, lo que podría debilitar los mecanismos de cifrado que dependen de esa implementación.
Asimismo, la CVE-2025-41115 descubre una brecha en el mecanismo de aprovisionamiento SCIM que podría permitir la manipulación de identificadores de usuario, lo que derivaría en una escalada de privilegios. Otras como la CVE-2025-15467 posibilitan la ejecución remota de código mediante estructuras CMS maliciosas, mientras que la CVE-2023-3128 y la CVE-2018-15727 exponen fallos en la autenticación, llegando a evadir los controles de acceso con solo conocer el nombre de usuario.
El aviso del INCIBE también relaciona otras vulnerabilidades de severidad alta como la CVE-2024-9264 o la CVE-2024-1442, que podrían ser utilizadas en ataques combinados para aumentar el impacto sobre los sistemas productivos. La explotación de cualquiera de estos fallos comprometería la disponibilidad de la maquinaria conectada y potencialmente detendría líneas de producción completas.
El INCIBE insiste en que la actualización inmediata del firmware es la única barrera efectiva para contener estas vulnerabilidades y proteger la continuidad de las operaciones industriales.
Recomendación oficial: actualización urgente del firmware
El fabricante Balluff ha liberado la versión de firmware 2.4.1 para ambos modelos afectados, que incluye los parches necesarios para todas las vulnerabilidades reportadas. Desde el INCIBE se insta a las empresas que utilicen estos dispositivos a aplicar la actualización de manera prioritaria, especialmente en aquellos entornos donde la conectividad a redes de planta es directa y la superficie de ataque es mayor.
Además, el organismo recomienda revisar las configuraciones de autenticación, limitar el acceso a las pasarelas desde redes no confiables y monitorizar los registros de actividad para detectar posibles intentos de explotación. La alerta se mantiene activa hasta que todas las organizaciones afectadas hayan completado el proceso de parcheo, subrayando la urgencia de la medida.
El panorama de la ciberseguridad
El aviso INCIBE-2026-467 se enmarca en un contexto de creciente amenaza para los sistemas de control industrial (SCI) en España y Europa. Los dispositivos de automatización, como las pasarelas de Balluff, forman parte de la columna vertebral de la industria manufacturera, química y energética, sectores cada vez más interconectados y, por tanto, más expuestos a ciberincidentes.
De hecho, las amenazas dirigidas específicamente a sistemas de control industrial han experimentado un incremento cercano al 30% en el último año, de acuerdo con las tendencias observadas por el INCIBE. Este dato subraya la urgencia de mantener actualizados los sistemas y de seguir las alertas tempranas que emite el Instituto para proteger las infraestructuras críticas del país.

