INCIBE alerta de 19 vulnerabilidades críticas en productos de Rockwell Automation que afectan a sistemas de control industrial

El aviso afecta a más de una docena de productos, incluidos los adaptadores 1715-AENTR. La actualización de firmware y la aplicación de parches son las medidas urgentes recomendadas.

El INCIBE (Instituto Nacional de Ciberseguridad) ha alertado este miércoles 15 de julio sobre 19 vulnerabilidades en productos de Rockwell Automation, una de ellas crítica, que afectan a sistemas de control industrial utilizados en infraestructuras críticas. El aviso, identificado como INCIBE-2026-494, advierte de que su explotación podría permitir a un atacante ejecutar código arbitrario, provocar denegación de servicio o suplantar usuarios autenticados, entre otros impactos.

EN 30 SEGUNDOS

  • ¿Qué ha ocurrido? El INCIBE ha coordinado la publicación de 19 vulnerabilidades en múltiples productos de Rockwell Automation, incluyendo una de severidad crítica.
  • ¿Dónde y cuándo? La alerta se emitió el 15 de julio de 2026 y afecta a dispositivos de control industrial desplegados en entornos de automatización de todo el mundo.
  • ¿Qué resultado? Se recomienda la actualización inmediata del firmware de los productos afectados y la aplicación de medidas de seguridad complementarias para mitigar el riesgo de ejecución remota de comandos, especialmente en el adaptador 1715-AENTR (CVE-2026-10577).

Detalle de las 19 vulnerabilidades y productos afectados

La vulnerabilidad más grave, identificada como CVE-2026-10577 y calificada con severidad crítica, reside en el adaptador 1715 Redundant I/O (1715-AENTR) en versiones de firmware 3.003 y anteriores. Este fallo expone un puerto de depuración accesible por red sin los controles de privilegios adecuados, lo que permite a un atacante no autenticado ejecutar comandos intrusivos con capacidad para leer o eliminar archivos, detener tareas o alterar el estado de las E/S. Rockwell Automation ya ha publicado la versión 3.011 que corrige este fallo.

Junto a ella, otras 15 vulnerabilidades de severidad alta completan el conjunto de la alerta. Destacan las tres referencias CVE-2025-12011, CVE-2025-12012 y CVE-2025-11698, que afectan a las familias CompactLogix®, ControlLogix®, Compact GuardLogix® y GuardLogix® (series 5370/5570/5380/5480/5580). Un desbordamiento de búfer que se puede provocar de forma remota mediante la carga de un proyecto inválido o la escritura de datos manipulados fuerza al dispositivo a entrar en un fallo mayor no recuperable, exigiendo intervención manual para su restablecimiento. También resaltan los fallos en Studio 5000 Logix Designer® (CVE-2026-9127 y CVE-2026-9128), que permiten a cualquier usuario autenticado modificar rutas de herramientas externas y ejecutar código arbitrario.

Publicidad

El aviso abarca además productos como ThinManager® (hasta versión 14.0.2) con una vulnerabilidad de path traversal (CVE-2026-11917), los módulos de comunicación 1756-EN2/EN3/ENBT con denegación de servicio por paquetes CIP manipulados (CVE-2026-9653), el adaptador Flex 5000® (CVE-2026-12659), el simulador Arena® (CVE-2026-8085, CVE-2026-8312, CVE-2026-8313 y CVE-2026-8314) y la plataforma FactoryTalk® Services Platform (CVE-2026-10714), que incluye una omisión en validación JWT que facilita la suplantación de usuarios. En total, son 19 CVE con posible explotación remota, pero sin reportes de actividad maliciosa activa en el momento de la publicación del aviso.

Recomendaciones de seguridad y actualizaciones de firmware

El INCIBE traslada las indicaciones de Rockwell Automation, que ha publicado versiones corregidas para la mayoría de los productos afectados. Así, Studio 5000 Logix Designer® debe actualizarse a V37.00, 36.01 o 35.02 según la línea de versión; ThinManager® a 13.0.8, 13.1.6, 13.2.5 o 14.0.3; los módulos 1756-EN2/EN3 a V12.002; los adaptadores 1718/1719-AENTR a 3.012; y los Flex 5000® a v6.012, entre otros. Para el módulo 1756-ENBT, descatalogado y sin parche previsto, se recomienda su sustitución, mientras que el 1734-OB8 debe migrarse al modelo 5034-OB8.

En todos aquellos casos en los que no exista parche disponible, o de forma complementaria, el aviso insiste en aplicar buenas prácticas de seguridad industrial: minimizar la exposición de los sistemas de control a redes no confiables, aislarlos mediante cortafuegos y emplear VPN actualizadas si se requiere acceso remoto. La propia Rockwell Automation ha detallado las guías de mitigación en sus boletines de seguridad.

Las alertas del INCIBE sobre vulnerabilidades industriales se han multiplicado en el último año, reflejando un aumento del 34 % en los incidentes de ciberseguridad dirigidos a infraestructuras críticas.

El panorama de la ciberseguridad industrial

El aviso se enmarca en un contexto de creciente amenaza para los entornos de tecnología operativa (OT). Según los datos del Balance de Ciberseguridad del INCIBE correspondientes a 2025, se gestionaron más de 120.000 incidentes de seguridad, de los cuales un 35 % afectaron a sistemas industriales o infraestructuras críticas, lo que representa un incremento del 22 % respecto al año anterior. La capacidad del instituto para detectar, catalogar y coordinar la respuesta ante vulnerabilidades como las ahora reveladas es clave para proteger los activos que sostienen servicios esenciales.

La familia de productos de Rockwell Automation está presente en procesos de manufactura, energía, agua y transporte, por lo que cualquier brecha en la seguridad de sus controladores y adaptadores tiene un impacto potencial significativo. La rápida publicación de parches y la coordinación con el INCIBE demuestran un modelo de respuesta que, en los últimos años, ha reducido el tiempo medio de exposición de las organizaciones españolas a este tipo de fallos de 45 días en 2022 a menos de 12 días en 2025, conforme a las estadísticas del propio instituto.

La alerta INCIBE-2026-494 no reporta explotación activa en el momento de su emisión, pero la experiencia acumulada aconseja la aplicación urgente de las actualizaciones. La vigilancia del espacio industrial continuará siendo una prioridad en el plan estratégico del organismo para 2026-2028, que refuerza la capacidad de detección temprana y la cooperación con fabricantes como Rockwell Automation.

Publicidad