Hackers vinculados a Irán realizaron el mayor ciberataque contra una empresa estadounidense desde el inicio del conflicto en Medio Oriente

El fabricante estadounidense de dispositivos médicos Stryker sufrió el miércoles un ciberataque masivo que paralizó sus operaciones en todo el mundo. El grupo Handala, vinculado al Ministerio de Inteligencia de Irán según analistas de ciberseguridad, reivindicó la acción y afirmó haber destruido más de 200.000 sistemas, servidores y dispositivos móviles, además de haber extraído 50 terabytes de datos. Las cifras, publicadas por el colectivo en X, no fueron verificadas de forma independiente.

Stryker confirmó la interrupción en un comunicado. La empresa indicó que enfrentaba “una interrupción global de la red en nuestro entorno Microsoft como consecuencia de un ciberataque”, aunque descartó la presencia de ransomware o malware y aseguró que el incidente estaba “controlado”. Empleados en Estados Unidos, Australia, Irlanda e India relataron en foros de Reddit que sus equipos habían sido borrados y que las páginas de inicio de sesión aparecían con el logotipo del grupo. En Cork, donde Stryker concentra su mayor operación fuera de Norteamérica con 4.000 trabajadores, el Centro Nacional de Ciberseguridad de Irlanda confirmó que respondía al incidente.

El ataque es el primero de magnitud conocida vinculado a Irán desde que Estados Unidos e Israel lanzaron la Operación Furia Épica el 28 de febrero. Handala declaró que la operación era “en represalia por el brutal ataque a la escuela de Minab y en respuesta a los continuos ciberataques contra la infraestructura del Eje de la Resistencia”.

La elección de Stryker no fue aleatoria. La empresa, con sede en Portage, Míchigan, adquirió en 2019 la firma israelí OrthoSpace por 220 millones de dólares y obtuvo el año pasado un contrato de 450 millones con el Departamento de Defensa estadounidense. Con 56.000 empleados y presencia en más de 61 países, es uno de los mayores fabricantes de tecnología médica del mundo y proveedor clave de hospitales y fuerzas armadas occidentales. Sus acciones en la Bolsa de Nueva York cayeron alrededor de un 3,5% al conocerse la noticia.

Handala surgió a finales de 2023 tras el inicio del conflicto en Gaza, con un perfil que combina el hacktivismo propalestino con operaciones de inteligencia estatal. FalconFeeds lo clasifica como un grupo de “falso hacktivismo” gestionado por el Ministerio de Inteligencia iraní. Su nombre remite al personaje del caricaturista palestino Naji al-Ali, símbolo de resistencia desde 1969. A diferencia de los grupos criminales convencionales, Handala no opera por dinero, lo que lo convierte en un actor difícil de disuadir: su único objetivo es el daño máximo.

El ataque a Stryker no es un hecho aislado. Desde el 28 de febrero, múltiples grupos afines a Irán han coordinado una campaña bautizada como #OpIsrael que apunta a infraestructuras críticas en países aliados de Washington, incluidos Bahréin, Jordania y Kuwait. La Guardia Revolucionaria Islámica advirtió públicamente que las oficinas e infraestructuras de empresas estadounidenses con vínculos israelíes —entre ellas Google, Microsoft, Oracle, Palantir e IBM— serían consideradas objetivos legítimos. El ataque a Stryker parece ser la primera materialización de esa amenaza a gran escala contra una corporación cotizada en bolsa.

El ataque empleó la técnica “wiper”, diseñada para destruir datos de forma permanente. Irán recurrió a este método por primera vez a escala internacional con el ataque de Shamoon contra Saudi Aramco en 2012. El día anterior, el director del FBI, Kash Patel, advirtió que el organismo trabajaba “las 24 horas” para contener la amenaza iraní en el ciberespacio. El Centro de Estudios Estratégicos e Internacionales ya había advertido que los ataques del 28 de febrero marcaban el inicio de una nueva fase de escalada cibernética, no su conclusión.