EscucharEl logotipo de un grupo de ciberatacantes iraní conocido como Handala apareció en las páginas de inicio de sesión de la firma Skryker, una importante empresa de equipos médicos de Estados Unidos y con presencia en Costa Rica, el pasado miércoles 4 de marzo. Los hackers afirmaron que borraron más de 200.000 sistemas y extrajeron 50 terabytes de datos.
La compañía indicó que no tenían indicios de un secuestro de datos con fines extorsivos (ataque conocido como ransomware) ni detectaron software malígno (malware) en sus sistemas y que el incidente estaba contenido, aunque todavía trabajaban para determinar el impacto. El ataque afectó sus programas de Microsoft, al servicio de correos electrónicos, provocó una “interrupción global” y obligó a miles de empleados de Stryker a desconectarse de las redes.
La firma tiene su sede en Portage, Michigan, y fabrica una variedad de productos médicos, desde articulaciones artificiales hasta camas de hospital. En 2025 tuvo ingresos de más de $25.000 millones y 56.000 empleados en todo el mundo.
Tras el incidente, Stryker advirtió que algunos hospitales que usan sus equipos podrían experimentar interrupciones temporales en la transmisión de datos médicos, pero que sus productos conectados “no se vieron afectados y su uso es seguro”. Pero varios centros médicos suspendieron temporalmente el uso de los sistemas que transmiten datos de los pacientes a los paramédicos.
“Este suceso pone de relieve el panorama de amenazas más amplio al que se enfrentan las empresas hoy en día”, declaró Kevin Lobo, director ejecutivo de Stryker .
El ciberataque demostró las capacidades de Irán, que libra una “guerra de guerrillas” —según The Wall Street Journal— tras el bombardeo de la capital iraní, Teherán, el 28 de febrero pasado. Los funcionarios estadounidenses esperan más incidentes de este tipo. Hasta el momento, este es probablemente el ciberataque en tiempos de guerra “más significativo” de la historia contra EE. UU., con el cual se trasladó a territorio estadounidense un conflicto que hasta ahora estaba limitado en gran medida a Asia Menor. No fue una sorpresa.
Los dos escenarios más alarmantes que se habían planteado antes del conflicto eran: actos individuales de terrorismo interno o ciberataques disruptivos contra empresas estadounidenses o infraestructuras críticas. El ataque a Stryker fue ejemplo de lo segundo. Es una respuesta a las operaciones cibernéticas ofensivas de EE. UU., que incluyeron el uso de plataformas de inteligencia artificial (IA), como Anthropic.
“Todo líder empresarial debería preguntarse: ‘¿Cuál es el peor escenario posible en términos de interrupción para mi negocio?’”, dijo Jen Easterly, exdirectora de la Agencia de Seguridad de Infraestructura y Ciberseguridad durante la administración Biden, durante un evento tecnológico del Journal.
Ni tan inútiles, ni tan predecibles
Aunque no son tan hábiles como los hackers chinos, ucranianos o rusos, la red de ciberdelincuentes de Irán es temida por los funcionarios de seguridad de EE. UU. y Europa como un adversario cibernético impredecible, dispuesto a causar estragos.
Durante las últimas elecciones en EE. UU., los ciberatacantes iraníes fueron parte de un pelotón de hackers que intentaron influir de múltiples formas: filtrando correos electrónicos políticos pirateados y con campañas de spear-phishing. Este tipo de ataque de ingeniería social es altamente dirigido y personalizado, donde los ciberdelincuentes investigan a una persona u organización específica para enviar correos electrónicos fraudulentos y convincentes; a diferencia del phishing masivo, este busca robar información sensible (credenciales, datos financieros) suplantando una fuente de confianza.
Pero en esos procesos electorales, los ataques de los iraníes tuvieron poco impacto y fueron subestimados. Otra cosa sería el grupo Handala, que se presenta como una entidad independiente de ciberactivistas. Los expertos los relacionan directamente al Ministerio de Inteligencia y Seguridad de Irán (MOIS), la principal agencia de espionaje de Teherán. Es su principal batallón de hackers.
Handala, que surgió pocas semanas después del inicio de la guerra entre Israel y Hamás en Gaza en 2023 según The New York Times, afirmó en una publicación en su canal de Telegram que el ataque fue una represalia por un atentado contra una escuela primaria en Irán que causó la muerte de más de 160 personas, entre ellas menores de edad. El Pentágono investiga el ataque y cree que EE. UU. es “probablemente responsable”.
Desde el inicio de la guerra actual hace tres semanas, circularon informes sobre presunta actividad de hackers vinculados a Irán, incluyendo ataques a sistemas de correo electrónico gubernamentales en Albania y un intento de intrusión en una organización de investigación nuclear en Polonia, así como otras actividades en la región del Golfo. Ninguno fue tan significativo ni perjudicial como el ataque a Stryker.
La revista cibernética Wired informó que los hackers iraníes y la Guardia Revolucionaria Islámica también tenían en la lista de objetivos a las firmas tecnológicas Google, Microsoft, IBM, Nvidia, Oracle y Palantir, proveedoras también de sistemas tecnológicos para el Pentágono, para el ejército israelí (que participa en los ataques a Irán) o cuentan con oficinas, infraestructura o centros de datos en la región, incluido Emiratos Árabes Unidos.
El 1°. de marzo pasado los ataques de drones iraníes dañaron los centros de datos de Amazon Web Services (AWS) en Emiratos y Bahréin, interrumpiendo los servicios y exponiendo la vulnerabilidad de la infraestructura tecnológica física en la región. Asimismo, también se presentaron ataques electrónicos contra las señales de GPS, perturbando los sistemas de navegación utilizados por aviones, barcos y aplicaciones cotidianas de los smartphones.
Las firmas tecnológicas empezaron a ajustar sus operaciones en la región del Golfo Pérsico, pidiendo a sus empleados que trabajen a distancia o limiten sus viajes ante la escalada del conflicto. Algunas empresas también activaron planes de contingencia tras las interrupciones de infraestructuras relacionadas con los ataques de drones y el cierre del espacio aéreo. El Times también dijo que Handala atacó a la firma Cyberint (con sede en Estados Unidos e Israel) y a X-Force Exchange de IBM.
El grupo hacker también comunicó haber hackeado a Verifone, una empresa de pagos internacionales, atacando específicamente sus sistemas en Israel. Pero esta compañía declaró que no tenía ninguna evidencia de ningún incidente y que sus clientes no experimentaron ninguna interrupción del servicio.
El día del ataque, Stryker comunicó a sus empleados que no tenía identificada la causa de la brecha de seguridad, pero los especialistas creían que los piratas informáticos comprometieron las credenciales de algún empleado o contratista mediante un ataque de spear-phishing. Esto les permitió acceder a los controles corporativos de Microsoft Intune, un servicio que las empresas utilizan para administrar de forma remota los dispositivos de su red. Dicho acceso posibilitó el borrado de datos en decenas de miles de dispositivos.
La empresa advirtió a sus empleados que no hicieran clic en enlaces sospechosos e instó a eliminar de inmediato las aplicaciones de administración de dispositivos móviles y los perfiles de trabajo de sus teléfonos celulares. El personal de Stryker descubrió que se borraron los datos de teléfonos celulares y computadoras portátiles con el sistema operativo Windows de Microsoft.
