El grupo vinculado a Irán reclamó el ataque como represalia por bombardeos militares. Dispositivos Windows fueron borrados remotamente mientras la empresa médica enfrentaba una paralización global de operaciones.
La multinacional de tecnología médica Stryker confirmó este 11 de marzo una interrupción global de sus sistemas tras un ciberataque reivindicado por Handala, grupo hacktivista con vínculos con el Ministerio de Inteligencia y Seguridad de Irán.
Los atacantes afirmaron haber borrado más de 200,000 dispositivos incluyendo servidores, laptops y móviles, exfiltrado 50 terabytes de información crítica antes de paralizar operaciones en 79 países. El incidente comenzó alrededor de las 4:00 PM hora local, cuando empleados de múltiples sedes reportaron que sus dispositivos Windows inscritos en el sistema de gestión móvil fueron borrados remotamente.
Según la declaración pública del grupo en su portal, el ataque responde a lo que denominan "el ataque brutal a la escuela de Minab" y a las "ciberagresiones continuas contra la infraestructura del Eje de Resistencia".
Handala, que emergió en diciembre de 2023 como una operación hacktivista alineada con intereses iraníes, ha intensificado su actividad desde el inicio del conflicto militar entre Estados Unidos, Israel e Irán a finales de febrero. La investigación de Unit 42 de Palo Alto Networks documenta que el grupo forma parte de un ecosistema más amplio de actores respaldados por el Estado iraní, que combinan espionaje, sabotaje y operaciones de influencia.
El impacto operativo ha sido significativo. Empleados de sedes en Estados Unidos, Irlanda, Costa Rica y Australia reportaron que el logo de Handala apareció en sus pantallas de login de Entra, Microsoft Entra, mientras sus dispositivos eran reseteados a configuración de fábrica.
Algunos trabajadores que tenían teléfonos personales inscritos para acceso corporativo también perdieron datos, según documentos internos consultados. La empresa instruyó al personal a eliminar inmediatamente todas las aplicaciones corporativas de sus dispositivos personales, incluyendo Teams, VPN y el portal Intune. Varios centros debieron revertir a procesos manuales con papel y pluma.
Stryker, con sede en Kalamazoo, Michigan, es una empresa Fortune 500 que factura más de 25,000 millones de dólares anuales y emplea a aproximadamente 56,000 personas. Fabrica desde implantes ortopédicos hasta sistemas de cirugía robótica y equipos hospitalarios críticos como desfibriladores. Su papel en la cadena de suministro sanitaria global la convierte en un objetivo de alto valor para actores que buscan maximizar disrupción.
Las implicaciones para los datos exfiltrados permanecen inciertas, pero el historial de Handala sugiere que la información podría ser utilizada para operaciones de influencia, extorsión o exposición pública.
El grupo ha publicado previamente datos robados de empresas israelíes y del Golfo Pérsico en portales de filtración. En su comunicado oficial de reclamación, los atacantes advirtieron que "todos los datos adquiridos están ahora en manos del pueblo libre del mundo, listos para ser usados para el verdadero avance de la humanidad y la exposición de la injusticia y la corrupción". Este lenguaje es consistente con operaciones de guerra psicológica que buscan amplificar el daño reputacional más allá del impacto técnico inmediato.
Para organizaciones en LATAM con operaciones transfronterizas o dependencia de proveedores médicos globales, este incidente subraya la necesidad de evaluar la resiliencia de la cadena de suministro crítica. Los grupos alineados con Irán han demostrado capacidad para coordinar campañas multi-vectoriales que combinan wipers destructivos con exfiltración sostenida. Las entidades que manejan datos de salud, infraestructura energética o logística militar deben asumir que el riesgo de ser objetivo secundario ha aumentado significativamente desde la escalada del conflicto regional.
FUENTE ORIGINAL
Unit 42 - Palo Alto Networks↗CURADO POR
Johan Ricardo