Irán realiza un ciberstaque de destrucción masiva de datos contra una empresa de EE.UU.

Stryker, fabricante líder mundial de dispositivos médicos, ha sufrido uno de los ciberataques más destructivos y con motivaciones políticas contra una empresa estadounidense.

El ataque provocó una interrupción masiva en las operaciones globales de la compañía y afectó a numerosas organizaciones sanitarias que colaboran con Stryker. Funcionarios actuales y anteriores del gobierno estadounidense describieron el incidente como probablemente el ciberataque en tiempos de guerra más significativo contra Estados Unidos en la historia.

Un grupo de hackers iraníes llamado Handala Hack (también conocido como Void Manticore) se atribuyó la responsabilidad del ataque a sus cuentas de Telegram y X. El grupo es un actor de amenazas activo que supuestamente opera en nombre del Ministerio de Inteligencia y Seguridad de Irán, informa HST.

Ya sea que se considere un sabotaje cibernético, una señal coercitiva o un ataque de represalia, el ataque demuestra que Irán puede alcanzar territorio estadounidense a través de objetivos del sector privado en el ciberespacio. Este ataque también constituye una clara señal de que Irán u otros adversarios pueden causar daños a empresas y, potencialmente, a infraestructuras críticas a través del ciberespacio, con consecuencias en el ámbito físico. Este artículo analiza el incidente de Stryker desde tres perspectivas cruciales para la política de seguridad nacional: atribución, represalia y disuasión, con especial énfasis en la guerra cibernética.

El ciberataque a Stryker se desarrolló de manera diferente a la mayoría de los ataques que se suelen ver en las noticias. No fue un incidente típico de filtración de datos ni un ataque de ransomware que exija un rescate a la víctima. En muchos casos, los atacantes exigen un rescate para permitir que sus víctimas accedan a sus datos o amenazan con publicarlos. Estos ataques suelen tener una motivación económica, con el objetivo de obtener ganancias. El incidente de Stryker tuvo una motivación diferente: causar una interrupción y destrucción masivas.

El análisis del ataque sugiere que los atacantes primero comprometieron una cuenta de administrador con acceso a Microsoft Intune, una plataforma de administración de endpoints basada en la nube que las organizaciones utilizan para administrar de forma remota los dispositivos corporativos. Luego, los atacantes emitieron comandos de borrado remoto masivo utilizando la función integrada de Intune para restablecer simultáneamente los dispositivos de fábrica en toda la fuerza laboral global de Stryker.

Cuando se borra un dispositivo, todos los datos almacenados en él se borran permanentemente. Handala afirmó haber borrado 200.000 dispositivos, mientras que otros informes sitúan la cifra en aproximadamente 80.000 dispositivos de endpoint.

Stryker no era un objetivo cualquiera. Muchos hospitales y otras instituciones sanitarias dependen de los productos de Stryker, incluidos implantes ortopédicos, sistemas quirúrgicos, desfibriladores y camas de hospital. Los productos de la compañía llegan a más de 150 millones de pacientes anualmente en 61 países. Una interrupción prolongada en una empresa de este tipo impacta directamente en la cadena de suministro y la prestación de servicios sanitarios.

Handala presentó el ataque a Stryker como una represalia por un ataque aéreo estadounidense contra una escuela en Irán durante las primeras fases de las operaciones militares estadounidenses e israelíes contra Irán, que causó la muerte de más de 170 personas, la mayoría niñas.