La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una alerta urgente a las empresas sobre la seguridad de sus sistemas de gestión de dispositivos. Esto se produce tras un importante ciberataque al fabricante de dispositivos médicos Stryker, en el que piratas informáticos pro-Irán borraron de forma remota datos de miles de dispositivos administrados por la empresa.
El ataque a Stryker: un estudio de caso sobre riesgo de endpoints
El 11 de marzo, Stryker confirmó un ciberataque que provocó una “perturbación global” en sus operaciones. A diferencia de los típicos ataques de ransomware, los piratas informáticos no implementaron malware. En lugar de ello, explotaron el acceso al sistema Microsoft Intune de Stryker (utilizado para administrar los dispositivos de los empleados) para eliminar datos de forma remota en decenas de miles de teléfonos, tabletas y computadoras. Esto incluía dispositivos personales y de propiedad de la empresa conectados a la red.
Por qué esto es importante: Este incidente resalta una vulnerabilidad crítica en la forma en que muchas empresas administran el acceso a los dispositivos. Los sistemas de gestión de terminales como Intune brindan a los administradores un control poderoso, pero, si se ven comprometidos, pueden usarse como armas para causar interrupciones graves.
Recomendaciones de CISA: Fortalecer la seguridad de los endpoints
La orientación de CISA se centra en reforzar los controles administrativos dentro de las plataformas de gestión de dispositivos. Específicamente, la agencia recomienda que las acciones de alto impacto, como el borrado remoto de dispositivos, requieran la aprobación de un segundo administrador. Este enfoque de “integridad de dos personas” agrega una capa crítica de protección contra cuentas fraudulentas o comprometidas.
Conclusiones clave para los administradores:
– Restringir acciones sensibles a flujos de trabajo de aprobación múltiple.
– Revisar los permisos de los usuarios periódicamente.
– Supervisar los paneles de Intune para detectar actividades no autorizadas.
El grupo hacktivista detrás del ataque
Un grupo hacktivista pro-Irán que se hace llamar Handala se atribuyó la responsabilidad, alegando que el ataque fue una represalia por un ataque aéreo estadounidense en Irán que mató a civiles. El grupo afirmó haber extraído datos de la red de Stryker, pero aún no ha presentado pruebas.
Stryker ha contenido el ataque y está trabajando para restaurar los sistemas, pero su cadena de suministro, pedidos y operaciones de envío permanecen fuera de línea. La empresa no ha proporcionado un cronograma de recuperación.
Conclusión
El ataque de Stryker subraya la creciente amenaza de la manipulación de terminales. Las empresas deben priorizar la seguridad de los sistemas de gestión de dispositivos con controles administrativos sólidos para evitar incidentes similares. Ignorar este riesgo deja a las organizaciones vulnerables a interrupciones devastadoras que pueden afectar las operaciones críticas.
