El INCIBE alerta de dos vulnerabilidades altas en Hitachi Energy que permiten denegación de servicio y RCE

Las fallas afectan a los sistemas PROMOD V y e-mesh EMS, utilizados en el sector energético, y podrían permitir a un atacante ejecutar código de forma remota o provocar una caída del servicio. Hitachi Energy ha liberado ya los parches correspondientes.

El INCIBE (Instituto Nacional de Ciberseguridad, dependiente del Ministerio para la Transformación Digital) ha emitido este miércoles 8 de julio a las 09:37 horas una alerta de seguridad sobre dos vulnerabilidades de severidad alta que afectan a sistemas de Hitachi Energy utilizados en el sector energético, como PROMOD V y e-mesh EMS, y que podrían permitir a un atacante provocar una denegacion de servicio o ejecutar código de forma remota.

EN 30 SEGUNDOS

  • ¿Qué ha ocurrido? El INCIBE ha alertado de dos vulnerabilidades altas en productos de Hitachi Energy.
  • ¿Dónde y cuándo? La alerta se emitió el 8 de julio de 2026 a las 09:37 horas, afectando a PROMOD V y e-mesh EMS.
  • ¿Qué resultado? Las fallas permiten denegación de servicio y ejecución remota de código; Hitachi Energy ya ha liberado parches.

Los sistemas industriales afectados y el detalle de las vulnerabilidades

La primera de las vulnerabilidades, identificada con el código CVE-2026-10763, reside en PROMOD V en sus versiones 1.0.10 y anteriores. El fallo se origina porque el servidor Digipede de terceros no soporta comunicaciones seguras HTTPS, lo que deja la transmisión de datos en claro y expuesta a interceptación. Un atacante podría aprovechar esta debilidad para robar credenciales, secuestrar sesiones o acceder de forma no autorizada a la plataforma de gestión energética.

La segunda vulnerabilidad, registrada como CVE-2026-42945, se encuentra en el módulo ngx_http_rewrite_module de NGINX Plus y NGINX Open Source, el servidor web que integra e-mesh EMS. Esta falla afecta a las versiones 4.1.6, 4.4.2 y 4.7.0 del producto y, bajo ciertas condiciones de configuración —cuando se combinan directivas rewrite con capturas de expresiones regulares sin nombre y signos de interrogación en la cadena de reemplazo—, puede provocar un desbordamiento de búfer. Un atacante no autenticado podría enviar solicitudes HTTP manipuladas para forzar el reinicio del servicio y, en escenarios donde la aleatorización de espacio de direcciones (ASLR) esté deshabilitada, ejecutar código remoto en el sistema.

Publicidad

Las soluciones de actualización ya disponibles

Hitachi Energy ha confirmado que las actualizaciones están listas y son de aplicación inmediata. Para PROMOD V, los administradores deben migrar a la versión 1.0.11 y habilitar HTTPS en el servidor Digipede. En el caso de e-mesh EMS, se requiere actualizar NGINX a la versión 1.30.2 o la más reciente. El INCIBE recomienda aplicar estos parches sin dilación, dado que las vulnerabilidades han sido catalogadas con una severidad alta y afectan a infraestructuras críticas del sector energético.

Además, la agencia de ciberseguridad subraya la importancia de revisar las configuraciones de los sistemas y monitorizar cualquier actividad anómala en las redes industriales. Los números de referencia ICSA-26-188-03 e ICSA-26-188-02 contienen información técnica adicional para los equipos de seguridad.

Solo en 2025, el INCIBE gestionó más de 115.000 incidentes de ciberseguridad, demostrando la capacidad técnica del centro para coordinar alertas y mitigar amenazas como estas, que afectan a sectores estratégicos.

El panorama de la ciberseguridad

Estas nuevas vulnerabilidades se enmarcan en un escenario de crecimiento constante de los ciberataques contra infraestructuras críticas. Según los datos del propio INCIBE, durante 2025 se registraron más de 2.000 incidentes en el sector energético a nivel nacional, lo que supone un aumento del 18 % respecto al año anterior. La convergencia OT/IT hace que los sistemas de control industrial sean cada vez más accesibles desde la red corporativa, ampliando la superficie de exposición.

El aviso de Hitachi Energy refuerza la necesidad de mantener los ciclos de parcheo actualizados y de implantar soluciones de monitorización continua. El INCIBE, a través de su centro de respuesta INCIBE-CERT, mantiene la vigilancia sobre este tipo de amenazas y colabora con fabricantes internacionales para agilizar la difusión de contramedidas, en línea con su función de protección de infraestructuras críticas y ciudadanía digital.