CISA emitió el 18 de marzo de 2026 una alerta urgente para que todas las organizaciones en Estados Unidos endurezcan la seguridad de Microsoft Intune, después de que el grupo hacktivista iraní Handala comprometiera una cuenta de administrador de Stryker y usara la plataforma de gestión de endpoints para borrar remotamente más de 200.000 dispositivos en 79 países. El ataque, puramente destructivo y sin ransomware, paralizó cirugías, manufactura y cadena de suministro de una de las mayores empresas de tecnología médica del mundo.
En 30 segundos
- El 11 de marzo de 2026, el grupo Handala comprometió una cuenta de administrador de Stryker, creó un nuevo Global Admin y ejecutó un wipe masivo de 200.000+ dispositivos a través de Microsoft Intune a las 3:30 AM EST
- El ataque paralizó operaciones en 79 países, demoró cirugías con implantes personalizados y provocó el robo de 50 TB de datos corporativos
- CISA publicó un advisory el 18 de marzo con tres pilares de mitigación: RBAC con privilegio mínimo, MFA resistente a phishing y Multi Admin Approval para acciones destructivas
- No se detectó malware ni ransomware: los atacantes usaron exclusivamente herramientas legítimas de gestión de Microsoft para causar el daño
- Cualquier organización que use Microsoft 365 e Intune debería auditar hoy sus cuentas Global Admin y activar las protecciones recomendadas
Microsoft es una empresa tecnológica estadounidense fundada por Bill Gates y Paul Allen en 1975, dedicada al desarrollo de software, hardware y servicios en la nube. Sus productos incluyen el sistema operativo Windows, la suite de productividad Microsoft 365 y la plataforma de computación en la nube Azure.
Microsoft Intune es la plataforma cloud de gestión de dispositivos (MDM/MAM) que permite a las organizaciones administrar, configurar y borrar remotamente computadoras, tablets y celulares corporativos. Lo que pasó con Stryker demuestra que cuando un atacante obtiene control de una herramienta así, no necesita malware: la propia infraestructura de gestión se convierte en un arma de destrucción masiva.
Qué pasó: el ciberataque a Stryker que borró 200.000 dispositivos
El 11 de marzo de 2026, el grupo hacktivista pro-iraní Handala ejecutó uno de los ataques de tipo wiper más grandes de la historia corporativa. Según KrebsOnSecurity, los atacantes comprometieron primero una cuenta de administrador existente de Stryker en Microsoft Entra ID (antes Azure AD). A partir de ahí, crearon una nueva cuenta con privilegios de Global Administrator, lo que les dio control total sobre el tenant de la organización.
A las 3:30 AM EST, cuando la mayoría del personal de IT en Estados Unidos dormía, ejecutaron el comando de wipe remoto a través de Microsoft Intune contra toda la flota de dispositivos de la empresa. Más de 200.000 equipos en 79 países fueron borrados simultáneamente. Notebooks, desktops, tablets, teléfonos corporativos e incluso celulares personales de empleados que tenían configurado Outlook con el perfil corporativo.
Eso último es un detalle que a muchos se les escapa. Si tu teléfono personal está inscripto en Intune porque querés acceder al mail corporativo, un atacante con Global Admin puede ejecutar un wipe completo de tu dispositivo. No solo borra los datos corporativos: restaura el teléfono a fábrica. Fotos, apps, todo.
Handala también se adjudicó el robo de 50 TB de datos internos, incluyendo documentación técnica de productos médicos, información financiera y datos de pacientes de ensayos clínicos. Al momento de publicación de este artículo, Stryker no confirmó públicamente el volumen de datos exfiltrados.
El impacto: cirugías demoradas y cadena de suministro paralizada
Stryker no es una empresa cualquiera. Es uno de los mayores fabricantes de tecnología médica del mundo, con presencia en 79 países y productos que van desde implantes de rodilla y cadera personalizados hasta instrumental quirúrgico y sistemas de navegación para cirugías. Según Cybernews, pacientes que esperaban implantes personalizados fabricados a medida vieron sus cirugías postergadas indefinidamente.
El ataque no solo borró dispositivos. Paralizó los sistemas de pedidos electrónicos que conectan hospitales con los centros de manufactura de Stryker. Las líneas de producción que dependen de diseño asistido por computadora quedaron fuera de servicio. Los envíos de instrumental a quirófanos se detuvieron. Si te interesa, podés leer más sobre nuestra guía sobre modelos de lenguaje.
Lo que me parece más preocupante de este caso es la naturaleza del ataque. No hubo ransomware, no hubo encriptación de archivos, no hubo demanda de rescate. Fue puramente destructivo. Los atacantes no buscaban plata: buscaban causar el mayor daño operativo posible usando herramientas legítimas. Cuando revisás los logs, no encontrás un ejecutable malicioso. Todo lo que hicieron fue operar la consola de administración de Microsoft exactamente como fue diseñada para funcionar.
Oficinas en 79 países quedaron efectivamente cerradas. Sin computadoras, sin acceso a sistemas internos, sin forma de procesar pedidos. La recuperación completa de una flota de 200.000 dispositivos desde cero, reinstalando sistemas operativos, reconfigurando perfiles y restaurando datos desde backups, puede llevar semanas o meses.
Cómo Intune se convirtió en un arma: el riesgo de las plataformas de gestión de endpoints
Microsoft Intune es una plataforma de Mobile Device Management (MDM) y Mobile Application Management (MAM) basada en la nube. Permite a los equipos de IT inscribir dispositivos, distribuir aplicaciones, aplicar políticas de configuración, forzar actualizaciones de seguridad y, cuando un dispositivo se pierde o un empleado se va, borrar remotamente el equipo. Es una herramienta legítima y necesaria para cualquier organización con más de un puñado de dispositivos.
El problema es que esa misma capacidad de borrado remoto, diseñada para proteger datos corporativos, funciona como un kill switch global si cae en las manos equivocadas. Un Global Administrator en Microsoft Entra ID tiene permisos para ejecutar wipe en todos los dispositivos del tenant sin restricciones. Sin aprobación de un segundo administrador. Sin límite de cantidad. Sin confirmación adicional.
Este tipo de ataque se conoce como “living off the land” (LotL): en lugar de introducir malware o herramientas propias, los atacantes usan exclusivamente las herramientas de administración que ya están desplegadas en el entorno. Las soluciones de EDR no detectan nada porque no hay nada malicioso ejecutándose. Es una acción administrativa legítima, ejecutada por una cuenta con los permisos correctos.
CISA advirtió en su alerta que hay un interés creciente de actores de amenaza estatales en explotar plataformas de gestión de endpoints. Intune no es la única en riesgo. Cualquier plataforma de MDM/UEM (Workspace ONE, Jamf, SCCM, ManageEngine) que permite borrado remoto masivo tiene el mismo vector de ataque si las cuentas privilegiadas no están debidamente protegidas.
La alerta de CISA sobre Microsoft Intune: tres pilares para endurecer la seguridad
El 18 de marzo de 2026, CISA publicó un advisory titulado “CISA Urges Endpoint Management System Hardening After Cyberattack Against US Organization”. El documento detalla tres pilares de mitigación que, de haber estado implementados, habrían prevenido o limitado drásticamente el impacto del ataque a Stryker. Si te interesa, podés leer más sobre los servicios de seguridad de Google.
Pilar 1: RBAC con privilegio mínimo
La primera recomendación es eliminar el uso de cuentas Global Administrator para tareas de gestión de dispositivos en Intune. En el caso de Stryker, los atacantes crearon un Global Admin, que tiene permisos irrestrictos sobre todo el tenant de Microsoft 365. CISA recomienda crear roles personalizados de Intune con permisos granulares, limitados tanto en las acciones que pueden ejecutar como en el scope de dispositivos y usuarios sobre los que operan. Si un administrador solo necesita gestionar dispositivos Windows en la oficina de Buenos Aires, no debería tener permisos para borrar iPads en Tokio.
Pilar 2: MFA resistente a phishing
Todas las cuentas con permisos privilegiados deben tener autenticación multifactor (MFA) resistente a phishing. No alcanza con SMS o códigos TOTP, que pueden ser interceptados mediante ataques de proxy inverso como Evilginx. CISA recomienda FIDO2/WebAuthn (llaves de seguridad físicas como YubiKey) o certificados. Además, las políticas de Conditional Access deben exigir MFA para cualquier acceso al portal de administración de Intune, desde cualquier ubicación y dispositivo.
Pilar 3: Multi Admin Approval para acciones destructivas
El tercer pilar es activar la función de Multi Admin Approval (MAA) de Intune, que obliga a que un segundo administrador apruebe acciones críticas antes de que se ejecuten. Según la documentación oficial de Microsoft, MAA cubre acciones como wipe de dispositivos, deployment de scripts, cambios de RBAC y modificación de perfiles de configuración. Si Stryker hubiera tenido MAA activo, el atacante habría necesitado comprometer al menos dos cuentas de administrador independientes para ejecutar el borrado masivo.
Configuración práctica: cómo implementar Multi Admin Approval en Intune
Multi Admin Approval es la barrera más directa contra el tipo de ataque que sufrió Stryker. Según la documentación de Microsoft Learn (actualizada al 16 de marzo de 2026), el flujo funciona así: cuando un administrador intenta ejecutar una acción protegida, como un wipe masivo, Intune no ejecuta la acción. En su lugar, genera una solicitud de aprobación que debe ser revisada y aprobada por un administrador diferente.
Para configurarlo, necesitás ir a Microsoft Intune admin center, luego a Tenant administration, y ahí a Multi Admin Administration. Creás una Access Policy donde definís qué tipo de recurso proteger. Los recursos que podés proteger incluyen:
- Acciones de dispositivo: wipe, retire y delete
- Scripts: deployment de PowerShell a dispositivos Windows
- Aplicaciones: distribución de apps (no políticas de protección de apps)
- Control de acceso basado en roles: cambios a roles, permisos y grupos
- Políticas de configuración: creación y modificación vía Settings Catalog
- Políticas de cumplimiento: creación y gestión de compliance policies
- Las propias Access Policies de MAA
Un detalle técnico que vale la pena mencionar: el administrador que envía la solicitud no puede aprobar su propia solicitud, incluso si forma parte del grupo de aprobadores. Esto elimina el riesgo de que un atacante con una sola cuenta pueda saltear la aprobación. Las solicitudes expiran después de 30 días si nadie las procesa.
Eso sí, hay una limitación importante: Intune no envía notificaciones automáticas cuando se crea una nueva solicitud de aprobación. Esto significa que para solicitudes urgentes, el administrador tiene que contactar manualmente al aprobador. En un escenario de emergencia a las 3 AM, esto puede ser un cuello de botella. Mi recomendación: configurá un webhook o flujo de Power Automate que notifique al equipo de seguridad cuando aparezca una solicitud pendiente. Si te interesa, podés leer más sobre herramientas de IA como Claude.
RBAC en Intune: cómo aplicar el principio de privilegio mínimo
El framework de RBAC de Intune permite crear roles personalizados que limitan tanto las acciones disponibles como el scope de usuarios y dispositivos afectados. Un ejemplo concreto: podés crear un rol “Help Desk Regional LATAM” que solo tenga permisos para ver información de dispositivos y ejecutar acciones de soporte básicas (reinicio, sync) sobre dispositivos asignados a oficinas en Argentina, Chile y Colombia. Ese rol no podría ejecutar wipe, no podría modificar políticas de configuración y no podría tocar dispositivos fuera de su scope.
El error más común que veo en las organizaciones es asignar el rol de Intune Administrator (o peor, Global Administrator) a todos los técnicos que necesitan gestionar dispositivos. Cada cuenta con Global Admin es un vector de ataque potencial que, si es comprometida, da acceso irrestricto a toda la organización. CISA recomienda explícitamente que las tareas rutinarias de Intune nunca se ejecuten desde cuentas Global Admin.
Para reducir el blast radius en caso de compromiso, la estrategia es segmentar por geografía, por tipo de dispositivo y por nivel de acción. Un administrador de primer nivel resetea contraseñas. Uno de segundo nivel puede instalar apps. Solo un grupo reducido con MAA activo puede ejecutar wipes. Y nadie debería poder borrar 200.000 dispositivos desde una sola cuenta sin aprobación.
Quién es Handala: hacktivismo iraní y el contexto geopolítico del ataque
Handala es un grupo hacktivista pro-iraní que surgió a fines de 2023, vinculado por investigadores de seguridad a Void Manticore, una unidad operativa asociada al MOIS (Ministerio de Inteligencia y Seguridad de Irán). A diferencia de grupos de ransomware que buscan beneficio económico, Handala ejecuta ataques puramente destructivos. Su patrón operativo son los wipers: herramientas y técnicas diseñadas para destruir datos, no para extorsionar.
El nombre “Handala” viene de un personaje icónico de la causa palestina, creado por el caricaturista Naji al-Ali. El grupo declaró que el ataque a Stryker fue una represalia por el bombardeo del 28 de febrero de 2026 contra una escuela en Irán, según reportaron múltiples fuentes de ciberseguridad. La elección de Stryker como objetivo, una empresa estadounidense de tecnología médica, se alinea con el patrón de atacar infraestructura civil de países percibidos como adversarios.
Lo que hace que este caso sea particularmente relevante para empresas con operaciones globales es que la motivación no fue financiera ni de espionaje industrial. Fue geopolítica. Esto significa que cualquier empresa de un país considerado adversario por actores estatales puede ser un objetivo, independientemente de su industria. Y el vector de ataque, comprometer una plataforma de gestión de IT, es reproducible contra cualquier organización que use Intune, Workspace ONE o cualquier otra solución de MDM.
Qué está confirmado y qué todavía no
Confirmado
- CISA publicó el advisory el 18 de marzo de 2026 recomendando endurecer Intune y otras plataformas de gestión de endpoints
- Stryker sufrió un ciberataque que afectó sus operaciones globales en marzo de 2026
- El grupo Handala se adjudicó públicamente el ataque
- Microsoft Intune soporta Multi Admin Approval para acciones destructivas como wipe (documentación oficial actualizada al 16 de marzo de 2026)
- CISA está trabajando en coordinación con el FBI en investigaciones adicionales
Todavía no confirmado
- La cifra exacta de 200.000 dispositivos borrados proviene de fuentes de prensa, no de Stryker directamente
- El volumen de 50 TB de datos robados fue declarado por Handala, no verificado por Stryker ni por terceros independientes
- El vector inicial de compromiso de la cuenta de administrador (phishing, credential stuffing, insider, otro) no fue detallado públicamente
- El plazo estimado de recuperación total de las operaciones de Stryker
- Si la cuenta comprometida tenía MFA activado y, de ser así, cómo fue evadido
Tabla comparativa: controles de seguridad de Intune antes y después del advisory de CISA
| Control de seguridad | Configuración típica (pre-advisory) | Recomendación CISA (post-advisory) |
|---|---|---|
| Cuentas de administración | Global Admin para todo | Roles personalizados con scope limitado |
| MFA | SMS o TOTP (si está activo) | FIDO2/WebAuthn obligatorio para admins |
| Wipe de dispositivos | Cualquier admin puede ejecutar sin aprobación | Multi Admin Approval requerido |
| Scope de permisos | Acceso global a todos los dispositivos | Segmentado por geografía/tipo de dispositivo |
| Scripts y deployment de apps | Sin aprobación adicional | Protegidos por Multi Admin Approval |
| Monitoreo de acciones críticas | Logs reactivos | Alertas proactivas + revisión de logs de Intune |
| Conditional Access | Básico o ausente | Obligatorio para todo acceso administrativo |
Qué significa para empresas y equipos en Latinoamérica
Si tu organización usa Microsoft 365 e Intune en Latinoamérica (y muchas lo hacen: es la plataforma de gestión de dispositivos dominante en la región), este caso te aplica directamente. No importa que el advisory de CISA esté dirigido a organizaciones estadounidenses. Las mismas vulnerabilidades de configuración existen en cualquier tenant de Microsoft 365, sin importar en qué país esté tu sede. Si te interesa, podés leer más sobre las capacidades de Gemini en ciberseguridad.
Un ejemplo concreto: una empresa argentina de 500 empleados con oficinas en Buenos Aires, Santiago y Bogotá que usa Intune para gestionar laptops y celulares corporativos. Si tiene 3 cuentas con Global Admin y ninguna tiene MFA con llaves físicas, está exactamente en la misma posición que estaba Stryker antes del ataque. Un phishing exitoso contra una de esas cuentas podría resultar en el borrado de toda la flota de dispositivos.
El checklist de acciones inmediatas que deberías ejecutar esta semana:
- Auditar cuántas cuentas tienen el rol Global Administrator en tu tenant. Si son más de 2-3, reducí ese número
- Verificar que todas las cuentas privilegiadas tengan MFA activo. Idealmente con FIDO2, pero al menos con app authenticator
- Activar Multi Admin Approval en Intune para las acciones de wipe, retire y delete de dispositivos
- Revisar los logs de actividad de Intune de los últimos 30 días buscando acciones administrativas inusuales
- Crear roles personalizados con scope limitado para los técnicos que gestionan dispositivos
- Verificar qué dispositivos personales de empleados están inscriptos en Intune y si corresponde mantenerlos
Errores comunes
Creer que MFA con SMS es suficiente para cuentas de administrador
Muchas organizaciones activan MFA con verificación por SMS y lo consideran resuelto. El problema es que los ataques de phishing modernos usan proxies inversos (como Evilginx o herramientas similares) que capturan tanto la contraseña como el código de MFA en tiempo real, generando un token de sesión válido. Para cuentas de administrador, CISA recomienda exclusivamente MFA resistente a phishing: FIDO2 con llaves físicas o certificados. El SMS no entra en esa categoría.
Asumir que “solo IT” tiene acceso a Intune, entonces no hace falta seguridad adicional
El razonamiento de “son personas de confianza” ignora que el riesgo principal no es un administrador malicioso, sino una cuenta de administrador comprometida. Da igual cuánto confíes en tu equipo de IT si un atacante obtiene las credenciales de una de esas cuentas. Multi Admin Approval no es una cuestión de desconfianza interna: es una red de seguridad contra el compromiso externo de credenciales. El caso de Stryker lo demuestra: los atacantes actuaron como si fueran administradores legítimos.
No incluir dispositivos personales en el análisis de riesgo de Intune
Cuando un empleado configura su mail corporativo en un teléfono personal usando Outlook o la app de Company Portal, ese dispositivo queda inscripto en Intune. Si hay una política de wipe completo (full wipe en lugar de selective wipe), un atacante puede borrar el teléfono entero del empleado, incluyendo fotos personales, apps bancarias y datos que no tienen nada que ver con la empresa. Muchas organizaciones no tienen claro cuántos dispositivos personales están inscriptos ni qué tipo de wipe aplica a cada uno.
Preguntas Frecuentes
¿Qué pasó exactamente en el ciberataque a Stryker y cómo usaron Intune para borrar los dispositivos?
El grupo hacktivista iraní Handala comprometió una cuenta de administrador de Stryker en Microsoft Entra ID, creó un nuevo Global Administrator y ejecutó un wipe remoto masivo a través de Microsoft Intune el 11 de marzo de 2026 a las 3:30 AM EST. Más de 200.000 dispositivos en 79 países fueron borrados simultáneamente, incluyendo equipos corporativos y teléfonos personales de empleados que tenían configurado el perfil corporativo.
¿Qué es Multi Admin Approval en Intune y cómo lo activo?
Multi Admin Approval (MAA) es una función de Microsoft Intune que requiere que un segundo administrador apruebe acciones críticas como wipe de dispositivos, deployment de scripts o cambios de RBAC antes de que se ejecuten. Se configura desde Microsoft Intune admin center en Tenant administration, sección Multi Admin Administration. El administrador que envía la solicitud no puede aprobar su propia petición, lo que impide que un atacante con una sola cuenta comprometida ejecute acciones destructivas.
¿Puede un administrador global borrar todos los dispositivos de mi organización desde Intune?
Sí. Sin Multi Admin Approval activado, una cuenta con rol de Global Administrator o Intune Administrator puede ejecutar el comando de wipe contra todos los dispositivos inscriptos en el tenant sin necesidad de aprobación de otro administrador y sin límite de cantidad. Eso es exactamente lo que explotaron los atacantes en el caso de Stryker. Activar MAA y restringir el número de cuentas con estos roles son las dos medidas más directas para evitarlo.
¿Quién es el grupo Handala y por qué atacó a una empresa de tecnología médica?
Handala es un grupo hacktivista pro-iraní vinculado a Void Manticore, una unidad asociada al Ministerio de Inteligencia de Irán (MOIS). Declararon que el ataque fue una represalia por el bombardeo del 28 de febrero de 2026 contra una escuela en Irán. Su patrón operativo se basa en ataques destructivos (wipers) contra empresas de países que consideran adversarios, no en extorsión económica ni ransomware.
Conclusión
El ataque a Stryker cambió la conversación sobre seguridad en plataformas de gestión de endpoints. Hasta ahora, la mayoría de las organizaciones veían a Intune como una herramienta interna de IT sin riesgo de seguridad significativo. Este caso demostró que una plataforma de MDM comprometida puede causar más daño que cualquier ransomware: 200.000 dispositivos borrados, cirugías demoradas, operaciones globales paralizadas, y todo sin un solo byte de malware.
Las tres medidas que CISA recomienda, RBAC con privilegio mínimo, MFA resistente a phishing y Multi Admin Approval, no son complejas de implementar. La configuración de MAA en Intune se puede hacer en una tarde. El problema es que la mayoría de las organizaciones no lo hacen hasta que les pasa algo. Si usás Microsoft 365 e Intune, la acción más concreta que podés tomar hoy es abrir la consola de Entra ID, contar cuántas cuentas Global Admin tenés y preguntarte: si comprometen alguna de esas cuentas a las 3 AM, ¿qué pasa?
Fuentes
- CISA – Advisory sobre endurecimiento de sistemas de gestión de endpoints (18 de marzo de 2026)
- Microsoft Learn – Documentación oficial de Multi Admin Approval en Intune
- BleepingComputer – CISA advierte sobre seguridad de Microsoft Intune tras el breach de Stryker
- KrebsOnSecurity – Hackers respaldados por Irán reclaman ataque wiper contra Stryker
- TechCrunch – CISA urge a las empresas a asegurar Intune tras el borrado masivo de dispositivos