February 17, 2026
1 min. lectura
El equipo de Mytra Cybersecurity Lab (MCLab) ha identificado y documentado la vulnerabilidad crítica SSA‑674753 (CVE‑2023‑40544) que afecta a múltiples dispositivos Siemens ET 200. Siemens ha reconocido oficialmente esta contribución en su aviso de seguridad. Aviso de seguridad Siemens SSA-9674753
Este estudio confirma la apuesta de Mytra por elevar los estándares de ciberseguridad OT, aportando evidencia técnica para fortalecer la disponibilidad y la fiabilidad entornos industriales.
La vulnerabilidad SSA‑674753 (CVE‑2023‑40544) expone a los dispositivos Siemens ET 200 a posibles interrupciones de servicio mediante un ataque de Denegación de Servicio (DoS). Este tipo de ataque se basa en enviar tráfico malicioso, saturando el dispositivo hasta impedir que responda con normalidad, lo que puede provocar bloqueos, reinicios inesperados o la incapacidad de procesar nuevas conexiones.
Cuando esta vulnerabilidad se explota, unidades como ET 200SP o ET 200MP pueden detener su funcionamiento o reiniciarse de forma repetida, afectando directamente a la continuidad de los procesos industriales y a la disponibilidad de los sistemas de control que dependen de estos módulos de comunicación. En entornos críticos, incluso una breve pérdida de disponibilidad puede generar retrasos operativos, interrupciones en la producción o desincronización de equipos conectados.
Mytra llevó a cabo la identificación del problema, su análisis técnico y la coordinación con Siemens para gestionar la divulgación responsable y facilitar la implementación de medidas de mitigación. Aitor Ruiz, responsable técnico de Ingeniería, amplía los detalles sobre cómo se detectó la vulnerabilidad, los riesgos que implica y las acciones recomendadas para mitigarla.
.jpg)
¿Cómo se detectó la vulnerabilidad?
Aitor Ruiz: "La alerta surgió cuando un cliente nos informó de que varios equipos —concretamente periferias ET200SP instaladas en entornos críticos— sufrían caídas inesperadas. Cuando hablaban de “caídas”, se referían a que las periferias quedaban completamente congeladas y dejaban de funcionar, siendo necesario cortarles la alimentación y volver a darles tensión para recuperarlas. Además, estos fallos se producían de forma aleatoria: no seguían un patrón horario ni ocurrían todos los días. Para entender qué estaba pasando, nos desplazamos a la instalación y colocamos una sonda en el mismo cuadro eléctrico donde estaban los equipos afectados. El objetivo era capturar tráfico de red y analizarlo de manera forense en cuanto se produjera uno de los bloqueos. Como el error era errático, dejamos la sonda en funcionamiento y pedimos al cliente que nos avisara en cuanto detectara una nueva caída.
Cuando finalmente se produjo un incidente, nos conectamos de forma segura a la sonda, recuperamos los datos y comenzamos el análisis. Fue entonces cuando observamos que el problema se desencadenaba al realizar una consulta a la ET200SP mediante el protocolo S7. Para confirmar esta hipótesis y profundizar en el estudio, llevamos un equipo identico a a nuestro laboratorio de Ciberseguridad y le realizamos una batería de pruebas exhaustivas. Gracias a ello pudimos detectar y confirmar que el bloqueo de la ET200SP ocurría exactamente en el momento de cerrar la conexión S7."
¿Qué impacto puede tener un ataque DoS en estos dispositivos?
Aitor Ruiz: "El impacto puede ser realmente crítico para la continuidad del proceso industrial. Cuando estos dispositivos sufren un ataque de denegación de servicio, las periferias quedan completamente bloqueadas: no responden, dejan de comunicarse con el PLC y, hasta donde hemos comprobado, no existe otra forma de recuperarlas que cortarles la alimentación y volverla a aplicar.
Esto significa que todas las señales y comunicaciones conectadas a esas periferias dejan de recibirse. Si el programa del PLC no tiene correctamente gestionada la pérdida de señales o la desconexión de las periferias, pueden darse situaciones peligrosas: desde el descontrol de un PID de temperatura o humedad, hasta la parada inesperada de transportadores o incluso averías mecánicas graves por la pérdida de detección en elementos móviles."
¿Cómo se puede mitigar?
Aitor Ruiz: "La primera línea de defensa es contar con una segmentación de red adecuada y con un buen bastionado de las instalaciones. Es fundamental limitar el acceso a las IPs y puertos que pueden ser críticos utilizando firewalls industriales. Además, mantener los firmwares de los equipos actualizados es de vital importancia, ya que permite mitigar, al menos, los errores conocidos que se corrigen con las nuevas versiones de firmware."
Mytra Cybersecurity Lab (MCLab), integrado en la Red de Laboratorios de Ciberseguridad de INCIBE, es un espacio dedicado a la experimentación y la investigación para reforzar la ciberseguridad industrial. Desde este espacio Mytra impulsa mejoras continuas en la seguridad del ecosistema OT/ICS —fabricantes, integradores y operadores— y garantiza que los proyectos de sus clientes se desarrollen y desplieguen con confianza, seguridad y cumplimiento que exige la normativa, como ISA/IEC 62443.
Entre sus principales capacidades destacan:
La identificación de la vulnerabilidad SSA‑674753 es una muestra clara de las capacidades y compromiso de Mytra por elevar los estándares de ciberseguridad en la industria.
Compártelo en redes sociales
Mantente al día de todas las novedades Mytra: proyectos, eventos, noticias…
