El Instituto Nacional de Ciberseguridad (INCIBE), dependiente del Ministerio de Transformación Digital, ha emitido un aviso SCI de severidad crítica que afecta a OpenPLC v3, una plataforma de software ampliamente utilizada en sistemas de control industrial (SCI). La vulnerabilidad, identificada como CVE-2026-14480, permite a un atacante autenticado escribir archivos arbitrarios y escalar hasta la ejecución remota de código nativo, comprometiendo la integridad de procesos automatizados en sectores estratégicos como el agua, la energía y el transporte.
El aviso, publicado el viernes 10 de julio de 2026 a las 09:34 horas a través del canal de alerta temprana del INCIBE-CERT, insta a todos los usuarios de OpenPLC v3 a migrar de forma inmediata a la versión 4, dado que la rama afectada ha llegado a su fin de ciclo de vida y no recibirá parches de seguridad.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE ha alertado sobre una vulnerabilidad crítica en OpenPLC v3 que permite la ejecución remota de código.
- ¿Cuál es el riesgo? Un atacante con credenciales puede escribir archivos arbitrarios y compilar código malicioso para tomar el control del sistema industrial.
- ¿Qué se recomienda? Actualizar de inmediato a OpenPLC v4, ya que la versión 3 ya no cuenta con soporte ni actualizaciones de seguridad.
La vulnerabilidad y su vector de ataque
Según ha detallado el investigador Grady DeRosa, la falla reside en el flujo de carga de programas de la interfaz web heredada de OpenPLC v3. Al no validar correctamente la ruta del archivo proporcionada por el usuario —campo prog_file—, un atacante autenticado puede forzar a la aplicación a escribir ficheros en ubicaciones arbitrarias del sistema de ficheros del servidor donde el proceso web tiene permisos de escritura.
El aviso del INCIBE asigna a esta vulnerabilidad una puntuación de severidad 5 — Crítica, el nivel máximo. La combinación de escritura no controlada y el proceso de compilación automática convierte cualquier acceso autenticado en una puerta de entrada al control total del sistema: los archivos fuente de C++ presentes en el directorio principal del runtime se compilan automáticamente en el binario ejecutable, permitiendo la ejecución de código nativo con los privilegios del usuario de tiempo de ejecución de OpenPLC.
Afectación a infraestructuras críticas y sectores implicados
La alerta ha sido catalogada como aviso SCI (Sistemas de Control Industrial), lo que indica que la amenaza afecta directamente a entornos operativos en sectores de infraestructura crítica. Según el propio comunicado, los sectores potencialmente impactados incluyen agua, energía y transporte, donde OpenPLC se emplea como plataforma de automatización y supervisión de procesos físicos.
Solo en 2025, los incidentes de seguridad en sistemas de control industrial notificados al INCIBE crecieron un 18%, confirmando que los ciberataques dirigidos a estos entornos son una amenaza en constante aumento.
De acuerdo con los datos del INCIBE, estos entornos han sido objeto de un número creciente de ciberataques en los últimos años, especialmente aquellos dirigidos a explotar vulnerabilidades en software con soporte finalizado. La dependencia de sistemas legacy como OpenPLC v3 en instalaciones industriales que operan sin conexión directa a internet no elimina el riesgo, ya que un atacante con acceso a la red interna —o incluso un empleado malicioso— podría aprovechar esta brecha para sabotear procesos críticos.
El panorama de la ciberseguridad industrial
La alerta sobre OpenPLC v3 se produce en un contexto de creciente preocupación por la ciberseguridad de las infraestructuras críticas. Según el balance de ciberseguridad industrial publicado por el INCIBE correspondiente al año 2025, se registraron 2.850 incidentes relacionados con sistemas de control industrial, lo que supuso un incremento del 18% respecto al año anterior. Cerca del 40% de estos incidentes estuvo vinculado a la explotación de vulnerabilidades en software desactualizado o sin soporte.
El caso de OpenPLC v3 ilustra esta tendencia. La decisión de los desarrolladores de poner fin al ciclo de vida del producto y centrar los esfuerzos en la versión 4 deja a los usuarios que no hayan migrado expuestos a ataques que ya no serán mitigados con parches oficiales. La recomendación del INCIBE se alinea con las directrices de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), que insta a los operadores de servicios esenciales a mantener actualizados todos los componentes de sus sistemas de control.
El aviso SCI emitido el viernes 10 de julio permanece activo en el portal de alerta temprana del INCIBE, y el organismo continuará monitorizando la evolución de la amenaza. La migración a OpenPLC v4 constituye la única medida efectiva para eliminar el vector de ataque descrito en el CVE-2026-14480.

