22 vulnerabilidades nuevas en dispositivos que nadie vigila: eso es lo que acaban de exponer investigadores de ciberseguridad en Black Hat Asia 2026. Los afectados son los convertidores serial-a-IP, aparatos discretos que traducen el lenguaje de máquinas industriales antiguas al protocolo de internet moderno. Si nunca has oído hablar de ellos, es precisamente el problema.
—
Qué ha pasado exactamente
Investigadores de ciberseguridad presentaron en Black Hat Asia 2026 los resultados de un análisis exhaustivo sobre convertidores serial-a-IP, y los números no son tranquilizadores. En total, identificaron 22 nuevas vulnerabilidades en modelos populares de dos fabricantes específicos: Lantronix y Silex Technology. Estas brechas permiten a un atacante tomar control remoto de los dispositivos afectados, manipular su funcionamiento y, desde ahí, moverse lateralmente hacia el resto de la red industrial o corporativa a la que están conectados.
La investigación, bautizada como BRIDGE:BREAK, no se limitó a los fallos nuevos. Los mismos investigadores rastrearon el historial de vulnerabilidades conocidas en los stacks de software que emplean estos dispositivos a lo largo de toda la industria, y encontraron potencialmente miles de vulnerabilidades antiguas sin parchear que siguen activas en despliegues reales. Es decir, no hablamos solo de errores recién descubiertos, sino de una acumulación de años de deuda técnica de seguridad que nadie ha saldado.
Los convertidores de Lantronix y Silex elegidos para el análisis son modelos ampliamente desplegados en entornos de tecnología operacional (OT): plantas de fabricación, infraestructuras de energía, hospitales, sistemas de control de edificios. Las vulnerabilidades halladas abarcan desde fallos de autenticación hasta errores de gestión de memoria que podrían explotarse sin interacción del usuario, simplemente enviando paquetes maliciosos al puerto correcto. Algunos de estos vectores de ataque son accesibles desde internet si el dispositivo está mal configurado o expuesto inadvertidamente.
Lo que hace esta situación especialmente delicada es la naturaleza de los propios dispositivos: al encontrarse entre dos mundos —el protocolo serial RS-232/RS-485 de las máquinas antiguas y las redes IP modernas—, actúan como puentes sin apenas supervisión de seguridad. No tienen agentes de detección de amenazas. No generan logs detallados que alimente un SIEM. Muchos llevan años funcionando sin que nadie recuerde que existen.
—
Por qué esto importa ahora
Los convertidores serial-a-IP llevan décadas en uso, pero su exposición al riesgo ha crecido de forma silenciosa por una razón concreta: la convergencia IT/OT. Hasta hace relativamente poco, las redes industriales vivían en un aislamiento casi total respecto a internet. Esa separación física —el famoso *air gap*— era la principal defensa. Con la digitalización industrial de los últimos años, ese aislamiento ha desaparecido o se ha debilitado enormemente, pero los dispositivos que hacen posible esa conexión no fueron diseñados pensando en seguridad ofensiva.
El resultado es una generación entera de hardware que quedó atrapada entre dos eras: demasiado vieja para tener una arquitectura de seguridad moderna, pero demasiado conectada para seguir contando con el aislamiento como escudo. Los fabricantes de PLCs, sensores industriales y equipos de automatización han ido incorporando conectividad IP directa en sus productos más nuevos, pero el parque instalado de maquinaria que solo habla serial es enorme. En sectores como la generación eléctrica, el tratamiento de agua o la industria farmacéutica, hay equipos con décadas de vida útil que no van a reemplazarse pronto.
Para el administrador de sistemas de una empresa española con planta de producción, esto se traduce en un problema muy concreto: esos pequeños cajas negras conectadas al PLC de la línea de envasado o al sistema de climatización del CPD probablemente llevan firmware de hace cinco o diez años, con vulnerabilidades documentadas públicamente en bases de datos como el NVD, y nadie las ha actualizado porque nadie recuerda que necesitan actualizarse. O, directamente, el fabricante dejó de publicar actualizaciones hace años.
—
Cómo se explotan y qué pueden hacer los atacantes
Las 22 vulnerabilidades de BRIDGE:BREAK no son todas del mismo tipo ni del mismo nivel de gravedad, pero el conjunto forma una superficie de ataque muy amplia. Algunas permiten ejecución remota de código (RCE), el escenario más grave: un atacante sin autenticación previa puede enviar una secuencia de datos especialmente construida y ejecutar instrucciones arbitrarias en el dispositivo. Otras involucran errores en la gestión de credenciales —contraseñas hardcodeadas, mecanismos de autenticación bypasseables— o desbordamientos de búfer en el procesamiento de ciertos protocolos de red.
El vector de ataque más preocupante es la combinación de exposición directa a internet con falta de autenticación. Motores de búsqueda especializados como Shodan o Censys indexan regularmente dispositivos industriales accesibles desde la red pública. Un atacante puede localizar convertidores Lantronix o Silex vulnerables con una búsqueda específica, sin necesidad de haber comprometido previamente ningún otro activo de la organización objetivo. Una vez dentro del dispositivo, el acceso al bus serial permite enviar comandos directamente a la maquinaria conectada, con consecuencias que van desde la interrupción de la producción hasta el daño físico de equipos.
El problema de las vulnerabilidades antiguas es igualmente serio, aunque menos visible. Los stacks de software que utilizan estos dispositivos —principalmente implementaciones de TCP/IP, servidores web embebidos y pilas TLS de terceros— acumulan años de CVEs publicados. Componentes como lwIP, uC/TCP-IP o versiones antiguas de OpenSSL han tenido vulnerabilidades críticas bien documentadas. Si el firmware de un convertidor integra una versión antigua de cualquiera de estas bibliotecas y nunca se ha actualizado, esas vulnerabilidades siguen siendo explotables, con pruebas de concepto públicas disponibles para cualquiera.
—
Qué diferencia a estos dispositivos del resto del IoT industrial
Existe una diferencia importante entre los convertidores serial-a-IP y otros dispositivos IoT industriales que conviene entender. Un PLC moderno con conectividad Ethernet, o una pasarela industrial de fabricantes como Moxa, Advantech o Red Lion, suelen tener detrás equipos de desarrollo con recursos para mantener ciclos de actualización de seguridad y un proceso de respuesta a vulnerabilidades más o menos formalizado. Los convertidores serial-a-IP, especialmente los de gama media-baja, operan en un segmento donde los márgenes son estrechos, el ciclo de vida del producto es largo y el soporte postventa tiende a agotarse rápido.
Lantronix y Silex son marcas reconocidas en el sector, no fabricantes de tercera fila. Que incluso en sus productos populares se hayan encontrado 22 vulnerabilidades nuevas en un solo ejercicio de investigación dice mucho sobre el estado general de la categoría. Para los modelos de fabricantes menos conocidos o de origen asiático que inundan los catálogos de distribuidores industriales, la situación es previsiblemente peor.
Hay además una dimensión regulatoria que empieza a cambiar el panorama. La directiva NIS2, en vigor en Europa desde octubre de 2024, amplía las obligaciones de ciberseguridad a sectores como manufactura, energía, agua y salud, precisamente los que más convertidores serial-a-IP tienen desplegados. Las empresas españolas en el ámbito de aplicación de NIS2 tienen ahora una obligación legal de gestionar los riesgos de seguridad en sus cadenas de suministro tecnológico y en sus activos OT, lo que incluye inventariar y evaluar el estado de seguridad de estos dispositivos.
—
Qué cabe esperar
Los coordinadores de vulnerabilidades —CISA en Estados Unidos, INCIBE-CERT en España— previsiblemente publicarán avisos formales sobre las 22 vulnerabilidades de BRIDGE:BREAK en las próximas semanas, con identificadores CVE y recomendaciones de mitigación. Lantronix y Silex habrán sido notificados con antelación siguiendo el proceso de divulgación responsable habitual en Black Hat, por lo que es probable que haya parches disponibles o en camino para los modelos más recientes en el momento de la publicación completa.
El problema estructural —miles de dispositivos con vulnerabilidades antiguas sin parchear en redes industriales reales— no tiene solución rápida. Lo que sí puede hacer un responsable de seguridad o un administrador de sistemas ahora mismo es empezar por lo básico: inventariar qué convertidores serial-a-IP hay en la red, comprobar qué versión de firmware ejecutan, verificar si están expuestos directamente a internet con herramientas como Shodan, y aislarlos en VLANs separadas con acceso restringido si no es posible actualizarlos de inmediato. En ciberseguridad industrial, la visibilidad es el primer paso que muchas organizaciones todavía no han dado.
