Un edificio alemán funcionó con sus interruptores automáticos

En octubre de 2021, una planta de tamaño medio de una empresa alemana de ingeniería perdió los interruptores de la luz. No la luz, los interruptores. El personal iba hasta el cuadro eléctrico y accionaba los magnetotérmicos a mano, porque los propios controles del edificio ya no respondían. El control de las persianas desapareció de la misma manera. Varios cientos de componentes KNX estaban en paredes y techos sin hacer absolutamente nada, y tres cuartas partes de ellos quedaron fuera de servicio.

Limes Security, la firma austriaca que documentó el caso, estableció qué había ocurrido. Los atacantes habían alcanzado el bus KNX a través de internet, habían descargado los dispositivos y después habían fijado ellos mismos la clave BCU. La clave es la cerradura del bus. Quien la fija, la tiene. El propietario no la tenía.

Todos los fabricantes a los que la empresa contactó dijeron lo mismo: no es posible ningún reinicio, los dispositivos están inservibles. La sustitución completa se presupuestó en más de 100.000 EUR solo en hardware. Limes Security acabó recuperando la clave volcando la memoria de la CPU y acotando el espacio de fuerza bruta lo suficiente para que la búsqueda terminara. El caso se conoce como KNXlock y nunca se pidió un rescate.

Lo que CISA hizo realmente el día 15 de julio

El 15 de julio de 2026 CISA añadió CVE-2023-4346 a su catálogo de vulnerabilidades explotadas conocidas, publicado en la versión de catálogo 2026.07.16 el 16 de julio a las 17:00:15Z. La fecha límite de corrección es el 29 de julio de 2026. Son catorce días. Otras entradas de la misma tanda de julio recibieron tres días.

El fallo está en el protocolo KNX de la KNX Association, en concreto en Connection Authorization Option 1. Está clasificado como CWE-645, un bloqueo de cuenta excesivamente restrictivo, y lleva CVSS 7.5 HIGH con el vector AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Esa puntuación es real y no la lectura de un fabricante: NVD mantiene una primaria de 7.5 de [email protected]. CISA registra el uso conocido en campañas de ransomware como desconocido. El CVE se publicó el 29 de agosto de 2023 y se modificó por última vez el 16 de julio de 2026.

Nada del problema de fondo es nuevo, y el texto que lo describe tampoco lo es. El aviso ICSA-23-236-01 de CISA es un documento de 2023, reportado por Felix Eberstaller, de Limes Security. KNXlock es un incidente de 2021. El único hecho nuevo es la inclusión en el KEV y el reloj que lleva pegado. Lo que ha cambiado es la exigencia, no la vulnerabilidad.

No hay parche, y ahí está el punto

Ninguna actualización de software arregla esto. El aviso de CISA delimita la exposición como dispositivos KNX que usan Connection Authorization Option 1 Style en los que actualmente no hay una clave BCU fijada, todas las versiones. Léalo con atención. La condición no es una versión antigua de firmware. La condición es un ajuste vacío.

El remedio es fijar la clave BCU. Es una acción de configuración que se realiza durante la puesta en marcha, en el archivo de proyecto del integrador, sobre el bus físico. No llega por un ciclo de parches. No se puede desplegar desde una consola de gestión. Es invisible para las herramientas que su equipo de seguridad ya opera, porque esas herramientas buscan versiones y esto no es un problema de versión.

Los propios metadatos del aviso dicen el resto en voz alta. Países y áreas de despliegue: Europa. Sede de la empresa: Bélgica. Sector: Critical Manufacturing. Un escaneo de Alpha Strike Labs, realizado en 2023, encontró más de 16.000 sistemas potencialmente vulnerables en el área DACH. Esa cifra tiene tres años y debe leerse como una instantánea de 2023, no como el recuento de hoy.

Por qué sobrevivió tres años

La brecha es organizativa, no técnica. Fijar una clave BCU corresponde a quien puso en marcha el edificio. Eso es un integrador o un contratista de mantenimiento, que trabaja desde un archivo de proyecto, a menudo de hace años, con frecuencia bajo un contrato que se cerró en la entrega. Esa persona no está en su equipo de seguridad y en muchos casos ya no responde a sus llamadas.

Así que el hallazgo aterriza en una cola de TI donde nadie es dueño del remedio. El equipo de seguridad ve el aviso y no puede actuar. El equipo de mantenimiento puede actuar y nunca ve el aviso. En esa costura pasaron tres años. MITRE incorporó la técnica a ATT&CK for ICS como T0892, Change Credential, en la primavera de 2023, lo que puso nombre al método sin ponérselo al responsable.

El modelo de pérdida también explica el abandono. La mayoría de los presupuestos de seguridad se construyen alrededor de un pago o de un deber de protección de datos, y este modo de fallo no tiene ninguno de los dos. Nadie pidió dinero a la empresa alemana y no se movió ningún dato personal. El atacante simplemente fijó la clave, los fabricantes confirmaron que no había vuelta atrás, y la factura de hardware aun así superó los 100.000 EUR.

El plazo no le obliga y la exposición sí

Seamos claros con el alcance. La fecha del 29 de julio de 2026 surge de la Binding Operational Directive BOD 26-04 de CISA y obliga a las agencias civiles federales de Estados Unidos. No obliga legalmente a un propietario europeo. Si su cartera está en Fráncfort o en Mánchester, ninguna directiva estadounidense le obliga a hacer nada para esa fecha.

La asimetría es la noticia. Los edificios son abrumadoramente europeos, el estándar es europeo, su asociación está en Bélgica y el plazo vinculante es estadounidense. Según nuestra lectura, el anclaje europeo es NIS2 y no la fecha de CISA, y lo ofrecemos como lectura nuestra y no como ley. Los deberes de NIS2 dependen de su sector y de sus obligaciones de gestión de riesgos, y un bus de automatización de edificios accesible desde internet es un hecho de gestión de riesgos, sea cual sea el calendario que usted siga.

La acción cabe en una frase y no va a TI. Pregunte a su integrador de edificios o a su contratista de mantenimiento dos cosas: si el bus KNX es accesible desde internet, y si alguna vez se fijó una clave BCU en la puesta en marcha. Si la respuesta a lo segundo es no, o si nadie encuentra el archivo de proyecto para decírselo, usted está dentro del alcance que describió CISA y está a una ruta accesible desde internet del resultado de octubre de 2021.