Un incidente de ciberseguridad de gran alcance ha impactado a Stryker, uno de los mayores fabricantes mundiales de tecnología médica. Atacantes consiguieron borrar de forma remota la información de aproximadamente 80 000 dispositivos aprovechando el servicio corporativo de gestión de dispositivos Microsoft Intune, sin desplegar ransomware ni malware tradicional. El caso ilustra de forma contundente cómo la comprometida de identidades privilegiadas en la nube puede tener efectos masivos sobre la continuidad de negocio.
Cómo se ejecutó el ataque: compromiso de administrador y abuso de Microsoft Intune
De acuerdo con la información publicada por Stryker y fuentes cercanas a la investigación, los atacantes lograron en primer lugar comprometer una cuenta de administrador en el entorno Microsoft de la compañía. A partir de ahí crearon un nuevo usuario con permisos de Global Administrator, el nivel de rol más elevado en Microsoft 365 e Intune, lo que les otorgó control casi total sobre la infraestructura en la nube.
Con estos privilegios, los responsables de la intrusión lanzaron desde Microsoft Intune una orden masiva de borrado remoto (remote wipe). La operación se ejecutó durante la mañana del 11 de marzo de 2026, entre las 5:00 y las 8:00 UTC, y resultó en el borrado de datos en unos 80 000 endpoints gestionados.
El impacto no se limitó a los equipos corporativos. También se vieron afectados dispositivos personales de empleados integrados en el programa BYOD (bring your own device) y gestionados mediante Intune, lo que evidencia el riesgo de una gestión unificada de activos corporativos y personales sin controles adicionales.
Handala, reclamaciones infladas y resultados del análisis forense
La agrupación hacktivista Handala, vinculada mediáticamente a Irán, afirmó haber destruido datos en más de 200 000 dispositivos de Stryker y exfiltrado alrededor de 50 TB de información confidencial. Sin embargo, el trabajo de respuesta a incidentes ha dibujado un escenario diferente.
Según Stryker y especialistas de Microsoft Detection and Response Team (DART) y Palo Alto Networks Unit 42, no se han encontrado indicios de:
- cifrado de información ni despliegue de malware clásico;
- actividad típica de ransomware o extorsión técnica;
- exfiltración de datos confirmada, a diferencia de lo proclamado por Handala.
La compañía ha subrayado que el incidente no afectó a los dispositivos médicos de Stryker. El ataque se circunscribió a la infraestructura Microsoft interna, por lo que el equipamiento clínico continúa siendo seguro para su uso en hospitales y centros sanitarios, un punto crítico para la confianza del sector salud.
Impacto operativo en Stryker y continuidad de las cadenas de suministro
Interrupciones en procesos internos y logística del sector salud
El borrado masivo de estaciones de trabajo y dispositivos móviles alteró de forma significativa las operaciones internas de Stryker. Entre las prioridades de recuperación se situaron:
- la restauración de los sistemas de gestión y procesamiento de pedidos;
- la normalización de las cadenas de suministro globales;
- la reanudación de los procesos de fabricación y envío de productos a clientes sanitarios.
Stryker ha comunicado que todos los pedidos realizados antes y durante el ataque serán atendidos una vez completada la recuperación. En el ámbito sanitario, donde los retrasos en la entrega de implantes, instrumental y equipos pueden repercutir directamente en la atención al paciente, la resiliencia logística es tan relevante como la seguridad técnica.
Respuesta del FBI: dominios de Handala incautados y riesgo persistente
En paralelo al incidente, el FBI actuó contra la infraestructura en línea de Handala, incautando los dominios handala-redwanted[.]to y handala-hack[.]to. Ambos muestran ahora avisos de decomiso emitidos por un tribunal federal del estado de Maryland.
Los registros DNS de estos dominios se han redirigido a ns1.fbi.seized.gov y ns2.fbi.seized.gov, y las autoridades estadounidenses señalan que se utilizaban para “actividad cibercriminal en beneficio de un estado extranjero”. Los miembros de Handala han reconocido la pérdida de estas infraestructuras en su canal de Telegram y han anunciado planes para reconstruir plataformas “más resilientes”, lo que indica una amenaza continuada para organizaciones de alto perfil.
Lecciones de ciberseguridad: riesgos de MDM, BYOD y dominios gestionados en Microsoft 365
El ataque contra Stryker demuestra que la comprometida de cuentas privilegiadas en la nube puede ser tan devastadora como cualquier ransomware. Herramientas de gestión de dispositivos móviles y endpoints como Microsoft Intune, diseñadas para reforzar la seguridad y la administración centralizada, se convierten en un vector de alto impacto cuando son controladas por un actor malicioso.
Este tipo de abuso de herramientas legítimas, conocido como “living off the land”, permite a los atacantes:
- ejecutar borrados o modificaciones masivas de datos de forma rápida y coordinada;
- desactivar soluciones de seguridad e introducir configuraciones inseguras a escala;
- propagar políticas maliciosas en toda la organización sin necesidad de malware detectable.
Tras el incidente, Microsoft y la agencia estadounidense CISA han reiterado recomendaciones para reforzar la seguridad de Windows, Microsoft 365 e Intune, alineadas con buenas prácticas adoptadas por organizaciones líderes:
- proteger de forma estricta las cuentas privilegiadas (MFA robusto, uso de dispositivos dedicados, prohibir su uso para tareas diarias);
- reducir al mínimo el número de Global Administrators y auditar periódicamente su actividad;
- separar la gestión de dispositivos corporativos y personales, revisando la política BYOD y sus permisos;
- establecer controles adicionales para operaciones críticas en Intune (por ejemplo, que un borrado masivo requiera doble aprobación y monitorización específica);
- implementar un enfoque de zero trust con supervisión continua de anomalías en la nube e integración con sistemas de detección y respuesta (XDR/SIEM).
El caso Stryker evidencia que incluso organizaciones del sector salud con infraestructuras maduras siguen siendo vulnerables si subestiman los riesgos asociados a la gestión centralizada en la nube y a las identidades de alto privilegio. Revisar en profundidad la arquitectura de seguridad de Microsoft Intune y Microsoft 365, probar regularmente los planes de respuesta a incidentes y elevar la concienciación sobre el valor de las credenciales administrativas son pasos imprescindibles para reducir la probabilidad y el impacto de ataques similares. Invertir ahora en controles de MDM, gobierno de identidades y estrategias zero trust es, en la práctica, invertir en la continuidad del negocio y en la seguridad de los pacientes.
