La empresa de dispositivos médicos Stryker confirmó que sus herramientas hospitalarias son seguras, aunque sus sistemas de pedidos digitales permanecen inoperativos una semana después de un ciberataque. El incidente interrumpió las operaciones en múltiples países y obligó a cerrar algunas fábricas temporalmente. Funcionarios de la compañía informaron sobre el estado actual durante una actualización el domingo por la tarde.
Según un comunicado emitido, los representantes de ventas coordinarán directamente con los clientes para reponer mercancías mediante métodos manuales. Las órdenes colocadas antes de la interrupción se reconciliarán una vez que los sistemas se restauren completamente. Los pedidos electrónicos realizados durante el periodo de caída se procesarán cuando el flujo de suministro normal se restablezca.
Funcionarios de la empresa enfatizaron que todos sus productos digitales conectados permanecen seguros para su uso en instalaciones de salud. Varias declaraciones emitidas el viernes y el domingo implican que la compañía recibió una gran cantidad de preguntas sobre la seguridad del software. El equipo técnico verificó que ningún dispositivo médico fue comprometido por el incidente interno.
El ciberataque se limitó al entorno interno de Microsoft de la compañía, por lo que no afectó a ninguno de sus productos conectados o de otro tipo. Los equipos médicos como camas y camillas tienen sus propios protocolos de seguridad y operan de forma completamente independiente de la red corporativa. La seguridad de estos dispositivos asegura que las cirugías pueden continuar sin riesgos adicionales.
Herramientas tecnológicas incrustadas en las redes hospitalarias, como el sistema de comunicación Vocera Voice y el sistema de sensores Care.ai, no se vieron impactadas. Las plataformas de visualización quirúrgica y el negocio de endoscopia también pueden utilizarse durante las intervenciones sin riesgo. El personal de Stryker puede visitar hospitales sin peligro para comunicarse por teléfono o correo electrónico.
El ataque fue reivindicado por un grupo alineado con Irán llamado Handala en una declaración pública. El grupo indicó que apuntó a Stryker debido a su trabajo con el Departamento de Defensa de Estados Unidos. La compañía no ha confirmado oficialmente la atribución a actores cibernéticos iraníes en sus reportes públicos.
Expertos en ciberseguridad de Cisco Talos señalaron que el ataque se ejecutó casi con toda seguridad comprometiendo cuentas administrativas de alto nivel. Identificaron cientos de credenciales filtradas de la empresa en la dark web como evidencia del compromiso inicial. Los equipos de respuesta identificaron que el acceso a las cuentas permitió el borrado masivo de dispositivos.
Los actores de la amenaza probablemente ganaron acceso a la consola de gestión de Microsoft Intune para utilizar la función nativa de borrado remoto de la plataforma. Esta técnica permitió al grupo causar una destrucción generalizada y pérdida de datos sin necesidad de malware tradicional. La herramienta de gestión de dispositivos fue el vector principal de la intrusión en la red corporativa.
La compañía no proporcionó un cronograma para la restauración de los sistemas, pero declaró que se centra en las plataformas de pedidos y envío. Se espera que el flujo de suministro se normalice gradualmente mientras el equipo técnico trabaja para recuperar la operatividad completa. El impacto financiero y operativo de este incidente continuará monitoreándose en las próximas semanas a medida que se evalúa la resiliencia de la infraestructura de TI.
