En el mundo de la ciberseguridad, solemos imaginar a los atacantes desplegando complejos virus o encriptando archivos. Sin embargo, este mes de marzo de 2026, el panorama ha cambiado drásticamente.

El reciente incidente global que ha afectado a gigantes del sector sanitario, como la multinacional Stryker, nos ha dejado una lección vital: tus propias herramientas de administración pueden ser el arma más destructiva en manos equivocadas.

En Simtec, queremos desgranar qué está ocurriendo con Microsoft Intune y, sobre todo, cómo puedes blindar tu organización sin complicar el día a día de tu equipo.

¿Qué ha pasado?

En marzo de 2026, el gigante de tecnología médica Stryker sufrió uno de los incidentes más disruptivos de la década.

El grupo hacktivista Handala no necesitó desplegar un virus complejo; simplemente comprometió una cuenta de Microsoft 365 con privilegios elevados y utilizó la función nativa de borrado remoto de Microsoft Intune. En cuestión de minutos, entre 80.000 y 200.000 dispositivos —incluyendo servidores críticos y estaciones de trabajo en 79 países— fueron restablecidos a su estado de fábrica, paralizando cirugías y suministros hospitalarios a nivel global.»

El concepto «Living-off-the-Land»: El enemigo en casa

Lo que hace que estos ataques sean tan peligrosos es que los atacantes no utilizan software malicioso (malware). Utilizan técnicas denominadas «Living-off-the-Land» (vivir de la tierra).

En el caso de Stryker, los atacantes no instalaron un virus. Simplemente comprometieron una cuenta con privilegios y utilizaron la función legítima de «Remote Wipe» (borrado remoto) de Microsoft Intune.

El resultado fue devastador: miles de dispositivos borrados de fábrica en minutos. Al ser una orden legítima del sistema, la mayoría de los antivirus y EDR no la detectaron como una amenaza inicial.

Los pilares para el endurecimiento de Intune

Para evitar que tu infraestructura se convierta en un «ladrillo» digital, recomendamos implementar estas capas de seguridad esenciales:

1. Aprobación Multi-Administrador (MAA)

Es el «botón nuclear» compartido. Si un administrador intenta ejecutar una acción crítica, como borrar un dispositivo o desplegar un script masivo, la orden queda en espera hasta que un segundo administrador la revise y la apruebe.

2. Identidad Blindada

Ya no basta con un SMS. Es necesario implementar MFA resistente al phishing, como llaves físicas FIDO2 o Windows Hello for Business, junto con Privileged Identity Management (PIM) para que los permisos de administrador solo se activen cuando sean estrictamente necesarios.

3. Acceso Condicional Inteligente

Configuramos políticas para que el portal de Intune solo sea accesible desde dispositivos gestionados y conformes, y desde ubicaciones geográficas autorizadas. Si alguien intenta entrar desde un país donde no operas, el sistema lo bloquea automáticamente.

Seguridad que no estorba

En Simtec, sabemos que la seguridad extrema puede paralizar la productividad. Nuestro enfoque no es solo cerrar puertas, sino gestionar el acceso de forma inteligente para que tu negocio nunca se detenga.

Publicamos análisis breves de riesgo para quienes dirigen empresas y prefieren saberlo antes que explicarlo después.