INCIBE alerta de una vulnerabilidad crítica en dispositivos WAGO que permite acceso remoto no autenticado durante el arranque

La vulnerabilidad CVE-2026-4769, con una puntuación CVSS de 9.8, afecta a modelos del sistema I/O Field de WAGO y permite el acceso no autenticado a funciones de diagnóstico durante el arranque. El fabricante ha publicado las actualizaciones de firmware que resuelven el fallo.

El Instituto Nacional de Ciberseguridad (INCIBE) ha emitido este 14 de julio de 2026 un aviso de seguridad crítico sobre una vulnerabilidad en dispostivos de E/S de WAGO que permite el acceso remoto no autenticado durante la secuencia de arranque, comprometiendo potencialmente la integridad total del sistema industrial afectado.

EN 30 SEGUNDOS

  • ¿Qué ha ocurrido? El INCIBE ha coordinado la publicación de una vulnerabilidad crítica (CVE-2026-4769, CVSS 9.8) que afecta a varios modelos de la serie I/O System Field de WAGO.
  • ¿Dónde y cuándo? La alerta se ha difundido el 14 de julio de 2026 y aplica a sistemas de control industrial con firmware no actualizado.
  • ¿Qué resultado? Un atacante remoto no autenticado podría acceder a funciones de diagnóstico internas durante el arranque, exponiendo el sistema a un compromiso completo.

La vulnerabilidad y los dispositivos afectados

La vulnerabilidad, identificada como CVE-2026-4769 y con una puntuación de gravedad de 9.8 sobre 10 en la escala CVSS, reside en una funcionalidad de diagnóstico no documentada que se activa durante el arranque de los dispositivos de la serie WAGO System I/O Field. Según el aviso del INCIBE, coordinado con CERTVDE y el propio fabricante, esta característica permanece accesible sin ningún tipo de autenticación durante un breve lapso de tiempo en la fase de arranque.

Los modelos concretos afectados son aquellos con versiones de firmware anteriores a las indicadas: 0765-110x/0100-0000 (versión 1.2.1.100), 0765-120x/0100-0000 (1.2.7.100), 0765-150x/0100-0000 (1.2.7.103), 0765-210x/0100-0000 (1.2.1.102), 0765-2102/0100-0000 (1.2.5.101), 0765-410x/0100-0000 (1.2.1.100), 0765-420x/0100-0000 (1.2.7.100) y 0765-450x/0100-0000 (1.2.7.103). Un atacante podría aprovechar esta exposición para interactuar con los procesos internos del sistema, escalar privilegios o alterar el funcionamiento del control industrial sin necesidad de credenciales.

Publicidad

Solución y respuesta del fabricante

El fabricante WAGO ya ha liberado las actualizaciones de firmware que resuelven la deficiencia. El INCIBE insta a todos los administradores de sistemas de control industrial a aplicar los parches de forma inmediata, siguiendo las referencias proporcionadas en el aviso oficial. Las nuevas versiones incluyen la desactivación de la función de diagnóstico no documentada durante el arranque, eliminando así la ventana de exposición.

La coordinación entre el equipo de respuesta a incidentes del INCIBE (INCIBE-CERT) y el fabricante ha sido ágil, lo que ha permitido que la vulnerabilidad se publique junto con la solución. No se ha confirmado, hasta el momento, la explotación activa de esta brecha, pero el INCIBE recomienda no demorar la actualización, especialmente en infraestructuras críticas.

La vulnerabilidad, con una puntuación de 9.8 sobre 10, permite el acceso remoto no autenticado durante el arranque, comprometiendo la seguridad del sistema industrial en su totalidad.

El panorama de la ciberseguridad

Este aviso se enmarca en una tendencia creciente de amenazas contra sistemas de control industrial (ICS). Según los datos del propio INCIBE, las vulnerabilidades críticas detectadas en dispositivos industriales aumentaron un 22% en 2025 respecto al año anterior, reflejando el interés de los ciberdelincuentes por estos entornos, a menudo menos protegidos que las redes corporativas convencionales.

La respuesta coordinada entre el INCIBE, CERTVDE y WAGO demuestra la eficacia del modelo español de ciberseguridad, que integra a los centros de respuesta ante incidentes con los fabricantes para acortar el tiempo de exposición. El INCIBE continuará monitorizando la evolución de esta vulnerabilidad y emitirá nuevas alertas si se detectan intentos de explotación activa, con el objetivo de proteger la infraestructura digital del país.