Ayer, 1 de julio, el Instituto Nacional de Ciberseguridad (INCIBE) emitió una alerta de seguridad de severidad alta por una vulnerabilidad de denegación de servicio en la biblioteca de compresión XZ Utils, que afecta a múltiples productos de automatización industrial de B&R. La vulnerabilidad, identificada como CVE-2025-31115, podría permitir a un atacante remoto provocar un fallo del servicio en los dispositivos afectados.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE alerta de una vulnerabilidad de denegación de servicio de alta severidad en XZ Utils que afecta a dispositivos de automatización de B&R.
- ¿Dónde y cuándo? La alerta se publicó en el portal del INCIBE-CERT el 1 de julio de 2026.
- ¿Qué resultado? B&R ha liberado parches correctores para todas las familias de productos afectadas; se insta a actualizar de inmediato a las versiones 1.8.1 o 1.8.0 según el modelo.
Un fallo crítico en el manejo de hilos de XZ Utils
La CVE-2025-31115 tiene su origen en la manera en que XZ Utils —una biblioteca de compresión de código abierto ampliamente utilizada en sistemas Linux empotrados— gestiona las operaciones multihilo durante la decodificación de archivos con formato .xz. Al procesar datos comprimidos especialmente manipulados, el software puede incurrir en errores de memoria como el uso de regiones ya liberadas (use-after-free) o la escritura en direcciones no válidas, lo que comprometería la disponibilidad del sistema.
El fallo ha sido calificado con una puntuación base de 4 en la escala CVSS v3, lo que le confiere un nivel de severidad alto. Aunque la explotación requiere que el atacante tenga acceso de red al dispositivo y pueda enviar archivos comprimidos maliciosos, las consecuencias en un entorno industrial podrían ser disruptivas. La divulgación fue coordinada por ABB PSIRT y la agencia estadounidense CISA, señal de la relevancia global del incidente.
La vulnerabilidad afecta a la capa de software base, por lo que cualquier aplicación que utilice XZ Utils para descomprimir datos de fuentes no confiables es potencialmente vulnerable. En el caso concreto de B&R, la biblioteca se encuentra integrada en el firmware de sus paneles de operador y dispositivos de visualización, que habitualmente están conectados a redes de producción y desempeñan funciones de supervisión y control de procesos críticos.
Ocho familias de productos B&R y los parches disponibles
Los productos afectados pertenecen a las familias PPC3100, C50, C80, FT50, MT50, T30, T80 y T50. Estas gamas incluyen desde paneles táctiles compactos hasta estaciones de visualización para aplicaciones de fabricación, envasado, logística y energía. En todos los casos, las versiones anteriores a la fecha de la alerta y las indicadas como 1.8.1 o 1.8.0 (según el modelo) son vulnerables.
El fabricante B&R ha liberado las actualizaciones que mitigan la vulnerabilidad. Las versiones correctoras son las siguientes: 1.8.1 para PPC3100, FT50, MT50 y T50; y 1.8.0 para C50, C80, T30 y T80. INCIBE y CISA recomiendan instalar estos parches de inmediato para evitar posibles interrupciones del servicio en las instalaciones industriales que dependen de estos dispositivos.
Solo en 2025, el INCIBE gestionó más de 120.000 incidentes de ciberseguridad en España, con un incremento notable en ataques dirigidos a sistemas de control industrial, según los datos oficiales del organismo.
Dado que los equipos suelen operar en entornos con altos requisitos de disponibilidad, el proveedor ha puesto a disposición los paquetes de firmware a través de sus canales oficiales de soporte. Los administradores de planta deben priorizar la actualización de los sistemas expuestos a redes corporativas o a Internet, donde el riesgo de ataque remoto es más elevado.
El panorama de la ciberseguridad industrial
La ciberseguridad en entornos de automatización industrial se ha convertido en una prioridad para los Estados miembros de la Unión Europea. El INCIBE, a través de su CERT, desempeña un papel fundamental en la detección y coordinación de la respuesta a vulnerabilidades que afectan a infraestructuras críticas. La colaboración con agencias como CISA y con los equipos de respuesta de los fabricantes, como ABB PSIRT, permite una divulgación controlada que minimiza la ventana de oportunidad para los atacantes.
Según el Balance de Ciberseguridad 2025 del INCIBE, el número de incidentes de seguridad en sistemas de control industrial creció un 37% respecto al año anterior, un dato que refleja la creciente atención de los ciberdelincuentes hacia los entornos OT. La respuesta ágil de los proveedores de automatización y la difusión inmediata de avisos por parte del INCIBE son esenciales para mantener la resiliencia de los sectores productivos. La presente alerta sobre XZ Utils ejemplifica el modelo de divulgación responsable que protege al tejido industrial español.
Los especialistas recuerdan que este tipo de fallos en bibliotecas de software de amplio uso pueden tener un impacto transversal. Por ello, INCIBE insta a los responsables de ciberseguridad a mantener una política de gestión de parches rigurosa y a monitorizar las actualizaciones de los fabricantes. El aviso INCIBE-2026-466 permanecerá activo en el portal del INCIBE-CERT para su consulta y seguimiento.

