El ataque a Stryker no fue un fallo técnico: fue el precio del ego administrativo
El 11 de marzo de 2026, poco después de la medianoche, los sistemas de Stryker Corporation comenzaron a apagarse. No hubo explosión, no hubo ransomware, no hubo código malicioso instalado en servidores ocultos. Un grupo pro-iraní conocido como Handala utilizó credenciales legítimas de administrador de Microsoft Intune para enviar una instrucción a más de 200.000 dispositivos en 79 países: bórralo todo. En cuestión de horas, 56.000 empleados se encontraron con laptops, teléfonos corporativos y dispositivos personales convertidos en ladrillo. Cincuenta terabytes de datos, incluyendo contratos con proveedores, información hospitalaria y archivos de diseño de producto, salieron de la organización sin que nadie pudiera detenerlos.
El gobierno de Estados Unidos emitió una alerta urgiendo a las empresas a asegurar sus sistemas de Microsoft. Stryker presentó un formulario ante la SEC reconociendo un impacto financiero material de magnitud indeterminada. Los pedidos electrónicos dejaron de funcionar. Algunos procedimientos quirúrgicos se retrasaron.
Y sin embargo, lo que me interesa de este episodio no es la mecánica del ataque. Lo que me interesa es la arquitectura de la complacencia que lo hizo posible.
Cuando la infraestructura se convierte en punto ciego
Microsoft Intune gestiona dispositivos en miles de organizaciones globales. Su lógica es elegante: un administrador con los privilegios correctos puede empujar actualizaciones, configurar políticas de seguridad y, en casos extremos, borrar de forma remota un dispositivo perdido o comprometido. Esa última función existe para proteger a las empresas. En el caso de Stryker, fue el arma del ataque.
Lo que los analistas de Forrester describieron como técnicas de "vivir de la tierra" —utilizar las propias herramientas legítimas del entorno para atacarlo— no es una novedad técnica. Es, de hecho, una de las metodologías más documentadas en ciberseguridad desde hace años. El grupo Handala no inventó nada. Encontró credenciales de administrador o administrador global de Intune, probablemente robadas mediante malware previo, y las usó exactamente para lo que estaban diseñadas.
Aquí reside el primer diagnóstico que me parece relevante para cualquier C-Level que lea esto: los ataques que más daño hacen no explotan vulnerabilidades desconocidas; explotan privilegios que la organización entregó sin suficiente vigilancia y sin suficiente fricción. Stryker no fue penetrada porque alguien encontró un agujero en el código de Microsoft. Fue penetrada porque alguien tenía las llaves, y nadie en la cadena de decisión había construido un sistema que exigiera confirmar, cada vez, que esas llaves estaban en las manos correctas.
La pregunta que debería estar haciéndose todo director de tecnología, todo CEO y todo miembro de junta directiva en este momento no es técnica. Es organizacional: en mi empresa, ¿quién puede tomar una decisión que borre 200.000 dispositivos, y cuánta fricción existe entre esa persona y esa capacidad.
La comodidad administrativa que fabrica fragilidad
He visto este patrón repetirse en sectores tan distintos como la banca, la manufactura y ahora la tecnología médica. Una empresa crece. Su infraestructura digital se expande. Los equipos de IT acumulan privilegios porque es más eficiente operar con accesos amplios que con accesos quirúrgicos. La gestión de identidades y accesos se convierte en una conversación técnica que "le corresponde al equipo de seguridad", y ese equipo, frecuentemente con recursos limitados y sin asiento en la mesa ejecutiva, reporta hacia abajo en lugar de hacia arriba.
La comodidad administrativa es la decisión implícita de no complicar los procesos internos para mantener la velocidad operativa. Y durante años, esa decisión produce resultados positivos: los sistemas funcionan, los dispositivos se gestionan, los empleados trabajan sin fricción. Hasta que alguien con credenciales robadas decide que esa misma comodidad es su vector de entrada.
Stryker generó más de 20.000 millones de dólares en ingresos en 2025. Sus robots quirúrgicos Mako solos representaron 1.300 millones de dólares. La empresa opera en 79 países con decenas de miles de empleados. Y sin embargo, la capacidad de borrar toda su infraestructura de dispositivos estaba concentrada en un nivel de privilegio al que, aparentemente, se llegó con credenciales comprometidas. Esa asimetría entre escala y control es el síntoma más preciso de lo que ocurre cuando la velocidad de crecimiento supera la velocidad de madurez institucional.
No hay un villano individual en esta historia. Hay una cultura directiva que, durante años, probablemente priorizó la agilidad operativa sobre la gobernanza de accesos. Esa es una decisión de liderazgo, no un accidente técnico.
El modelo BYOD y la deuda que nadie quería contabilizar
Hay un elemento de este ataque que merece atención específica porque trasciende lo corporativo: los dispositivos personales. Stryker, como miles de empresas globales, operaba bajo un modelo de gestión que incluía teléfonos y laptops propios de sus empleados, enrolados en Microsoft Intune. Cuando Handala ejecutó el borrado remoto, no discriminó. Los dispositivos corporativos y los personales recibieron la misma instrucción. Fotos personales, gestores de contraseñas, aplicaciones de autenticación multifactor, registros financieros: todo eliminado.
El modelo de dispositivos personales en entornos corporativos traslada eficiencia hacia la empresa y riesgo hacia el empleado. Stryker se ahorró durante años el costo de dotar a sus empleados de dispositivos corporativos dedicados. El 11 de marzo de 2026, esos empleados pagaron ese ahorro con su información personal.
Esto no es un juicio moral sobre Stryker en particular; es un diagnóstico de una práctica extendida en toda la industria. Y lo que revela es una conversación que la mayoría de las organizaciones no han tenido de forma honesta con sus empleados ni con sus juntas: cuando les pedimos que instalen nuestros sistemas en sus dispositivos personales, les estamos pidiendo que asuman un riesgo que nosotros no cuantificamos ni compensamos. Las demandas colectivas que probablemente seguirán a este episodio no serán solo contra los atacantes. Serán contra la empresa que diseñó un sistema donde el borrado de datos personales era una consecuencia posible de su arquitectura de gestión.
Los analistas de Forrester advirtieron además que los 50 terabytes de datos exfiltrados podrían utilizarse para construir ataques de suplantación altamente convincentes: correos falsos en nombre de Stryker a hospitales, instrucciones de recall fraudulentas, manipulación de cadenas de suministro. El daño del 11 de marzo no terminó el 11 de marzo.
La madurez directiva se mide en los privilegios que nadie quiso auditar
Hay una narrativa cómoda disponible para cualquier organización después de un ataque de esta naturaleza: fuimos víctimas de un actor estatal sofisticado, actuamos con rapidez, contuvimos el daño, nuestros dispositivos médicos nunca estuvieron comprometidos. Y esa narrativa tiene partes verdaderas. Stryker detectó la intrusión con relativa velocidad, sus robots quirúrgicos Mako siguieron funcionando mediante planes almacenados localmente en USB, y las líneas de suministro continuaron operando mediante procesos manuales.
Pero ninguna de esas respuestas responde la pregunta que importa para el directivo que quiere aprender algo de este episodio: ¿qué conversación sobre gobernanza de accesos privilegiados no ocurrió antes del 11 de marzo porque habría sido incómoda, cara o políticamente difícil de sostener dentro de la organización.
La arquitectura de seguridad de una empresa es siempre el reflejo fiel de su arquitectura de poder interno. Los privilegios que se acumulan sin auditoría son el equivalente digital de los procesos que nadie revisa porque el que los diseñó todavía está en la empresa. Las credenciales que no rotan son las promesas que nadie renegoció. Los accesos de administrador global que no tienen doble validación son las decisiones que se tomaron una vez, en otro contexto, y que nadie tuvo el incentivo de cuestionar después.
El sector de tecnología médica enfrenta un aumento del 30% en ataques durante 2025. El 40% de las brechas documentadas involucran credenciales robadas. Estos números no son argumentos para el pánico; son el contexto que hace que la complacencia resulte inexcusable.
Un directivo que mira este episodio y concluye que Stryker fue mala suerte está leyendo la historia equivocada. La cultura de toda organización es el resultado natural de perseguir un propósito auténtico, o el síntoma inevitable de todas las conversaciones difíciles que el ego del líder no le permite tener.
