Un legado bajo ataque

Durante más de 140 años, Marks & Spencer (M&S) ha sido sinónimo de calidad, confianza y excelencia en el comercio británico. Fundada en 1884 en Leeds, Inglaterra, la empresa comenzó como un modesto mercado, vendiendo productos domésticos asequibles. Con el tiempo, evolucionó hasta convertirse en un gigante del comercio minorista, reconocido por sus prendas de alta calidad, alimentos gourmet y estrategias innovadoras de experiencia del consumidor.

Con más de 1.400 tiendas en todo el mundo, M&S ha sido una pieza clave del comercio británico, adaptándose a las tendencias del mercado y a las exigencias del consumidor. Sin embargo, el 25 de mayo de 2025, este imperio fue atacado—por un enemigo invisible que rompió sus defensas y sembró el caos.

Cronología del desastre

Todo comenzó como un día normal. Los clientes realizaban sus compras en línea, los pagos se procesaban sin inconvenientes y las operaciones de la empresa fluían sin problemas. Pero en la noche del 25 de mayo, todo cambió.

Marks & Spencer fue víctima de un ataque de ransomware DragonForce, una amenaza cibernética sofisticada que se infiltró en sus sistemas con precisión quirúrgica.

En un principio, parecía un error menor—pagos detenidos, pedidos sin procesar. Pero con el paso de las horas, la crisis escaló rápidamente. Los servicios de Click & Collect fueron suspendidos. El sitio web quedó fuera de servicio, dejando a los clientes desorientados y preocupados. Para el mediodía, Marks & Spencer comprendió la terrible verdad: no solo había sido atacada—estaba siendo rehén de los hackers.

¿Qué información fue robada?

Los responsables del ataque, presuntamente el grupo Scattered Spider, no solo interrumpieron las operaciones. También rompieron las barreras de seguridad, accediendo al archivo NTDS.dit del dominio Windows, una base de datos con los hashes de contraseñas, que les permitió obtener control total sobre la infraestructura digital de M&S.

 Pero el peor daño fue el robo de datos de clientes.
Información personal como nombres, direcciones de correo electrónico, direcciones físicas e incluso fechas de nacimiento fueron comprometidas. En cuestión de horas, más de un siglo de confianza construida fue destruido.

¿Quiénes son Scattered Spider?

Scattered Spider, también conocidos como UNC3944, son un grupo de hackers de habla inglesa, compuesto por ciberdelincuentes que, según informes, operan desde Reino Unido y Estados Unidos.

El grupo saltó a la fama en 2023, cuando hackeó gigantes del entretenimiento como Caesars Entertainment y MGM Resorts International. Caesars pagó 15 millones de dólares (€13,8 millones) de rescate para recuperar sus sistemas.

Scattered Spider es experto en ingeniería social, utilizando tácticas como SIM swapping, ataques de agotamiento MFA y phishing para infiltrarse en redes corporativas. También poseen un conocimiento avanzado de plataformas en la nube como Microsoft Azure, Google Workspace y AWS, lo que les permite eludir medidas de seguridad con sorprendente eficacia.

El verdadero costo del ataque cibernético a Marks & Spencer: Análisis financiero

Pérdidas financieras directas

Marks & Spencer ha estimado que el ataque cibernético causará £300 millones (€350 millones) en pérdidas operativas. Esto incluye:

• Pérdida de ingresos: La empresa pierde £40 millones (€47 millones) por semana, ya que sus plataformas en línea están fuera de servicio.

• Problemas en la cadena de suministro & desperdicio de alimentos: La interrupción logística ha provocado graves pérdidas, especialmente en el sector alimentario.

• Paralización de operaciones: En lugar de procesos automatizados, la empresa ha tenido que recurrir a gestión manual, aumentando los costos laborales.

El pago de un rescate

Marks & Spencer no ha confirmado si ha pagado un rescate, pero los casos anteriores indican posibles cifras elevadas:

• Caesars Entertainment (2023) pagó $15 millones (€13,8 millones) a Scattered Spider para restaurar sus sistemas.

• Colonial Pipeline (2021) desembolsó $4,4 millones (€4 millones) a los hackers de DarkSide.

• Las demandas de rescate en grandes empresas suelen oscilar entre £10 millones (€11,7 millones) y £50 millones (€58,5 millones).

Restauración de datos & sistemas de TI

Después de un ataque ransomware, las empresas deben reconstruir sus sistemas, reforzar la seguridad y realizar investigaciones forenses:

• British Library (2023) gastó £6-7 millones (€7-8,2 millones) en recuperación tras un ataque de ransomware.

• Marks & Spencer podría invertir entre £50-80 millones (€58-94 millones) en la restauración y modernización de su infraestructura informática.

 Costos legales & sanciones regulatorias

• Multas por incumplimiento del RGPD: Si los datos de los clientes han sido comprometidos, la empresa podría enfrentar sanciones de hasta 4% de su facturación anual, es decir, £100 millones (€117 millones).

• Demandas colectivas: Los costos legales y las compensaciones podrían superar los £50 millones (€58,5 millones), basándose en casos similares.

Impacto en la reputación & efectos a largo plazo

• Pérdida de confianza de los clientes: Los analistas pronostican una caída millonaria en ventas, ya que los consumidores dudan en compartir sus datos.

• Disminución del valor de las acciones: Las acciones de Marks & Spencer han caído 10% tras el ataque.

• Proyección de pérdida de ingresos: Si la confianza de los clientes sigue disminuyendo, el impacto en las ventas podría alcanzar £500 millones (€585 millones) en los próximos dos años.

El costo total del ataque

Según comparaciones con incidentes previos y estimaciones actuales, el impacto financiero total del ataque a Marks & Spencer podría oscilar entre £500 millones (€585 millones) y £1.000 millones (€1,17 mil millones).

Cómo Cy-Napea® podría haber evitado el desastre en Marks & Spencer

Primera línea de defensa: Concienciación en ciberseguridad

Antes de que los ciberdelincuentes violen un sistema, explotan los errores humanos. Scattered Spider es especialista en ingeniería social, engañando a los empleados con correos electrónicos falsos, llamadas fraudulentas de soporte IT y solicitudes de inicio de sesión manipuladas.

Con la capacitación en ciberseguridad de Cy-Napea®, Marks & Spencer podría haber reducido drásticamente el riesgo de ataque:

• Simulaciones de phishing para entrenar a los empleados a identificar correos maliciosos antes de hacer clic en enlaces peligrosos.

• Concienciación sobre ingeniería social, evitando que los empleados compartan credenciales con atacantes que se hacen pasar por técnicos IT.

• Ejercicios de respuesta a amenazas reales, asegurando que cualquier actividad sospechosa sea reportada de inmediato.

Eliminando errores humanos, Cy-Napea® habría detenido el ataque desde su inicio.

Segunda línea de defensa: Seguridad avanzada de correos electrónicos

Incluso con empleados capacitados, los atacantes intentan burlar las barreras de seguridad. Cy-Napea® ofrece una solución de seguridad para correos electrónicos que:

• Filtra los correos de phishing antes de que lleguen a la bandeja de entrada.

• Previene el robo de credenciales, detectando intentos de acceso sospechosos.

• Analiza patrones de comunicación, eliminando mensajes fraudulentos de forma automática.

Si Marks & Spencer hubiera implementado esta defensa, los hackers no habrían logrado infiltrarse en sus sistemas.

Tercera línea de defensa: Soluciones EDR/XDR/MDR

Cuando Scattered Spider finalmente penetró en la red, desplegó el ransomware DragonForce, cifrando los sistemas y robando hashes de contraseñas del archivo NTDS.dit de Windows.

Las soluciones EDR/XDR/MDR de Cy-Napea® habrían detectado y neutralizado la amenaza en segundos:

• Monitorización de dispositivos, identificando comportamientos anómalos como la encriptación masiva de archivos.

• Sistemas de respuesta automatizada, aislando las máquinas comprometidas para evitar la propagación del ransomware.

• IA para la detección de amenazas, rastreando actividad sospechosa antes de que los atacantes sustrajeran datos confidenciales.

Última línea de defensa: Copias de seguridad en tiempo real y restauración instantánea

Incluso si el ataque se hubiera completado, Cy-Napea® habría permitido a Marks & Spencer restaurar sus sistemas en cuestión de horas, evitando largas interrupciones.

• Respaldo en tiempo real, asegurando que ninguna información fuera perdida o comprometida.

• Restauración con un solo clic, permitiendo que la empresa retomara sus operaciones de inmediato.

• Almacenamiento inmutable, previniendo que los hackers modificaran o eliminaran las copias de seguridad.

Cálculo de ahorro financiero

Si Marks & Spencer hubiera implementado la protección completa de Cy-Napea®, la empresa habría ahorrado cientos de millones:

• Evitar el pago de rescate: ahorro entre £10-50 millones (€11,7-58,5 millones).

• Reducción de pérdidas operativas: en lugar de £300 millones (€350 millones), las interrupciones habrían costado menos de £50 millones (€58,5 millones).

• Menos gastos legales: las sanciones GDPR y demandas habrían disminuido un 70%, ahorrando £100 millones (€117 millones).

• Minimización del daño reputacional: con una recuperación rápida, las pérdidas en ventas podrían haberse reducido en £500 millones (€585 millones).

La estrategia de ciberseguridad del futuro

Gracias a la protección en múltiples capas de Cy-Napea®, Marks & Spencer podría haber evitado el pago de rescates, minimizado las pérdidas financieras y restaurado sus sistemas sin interrupciones. En un mundo donde las amenazas cibernéticas evolucionan constantemente, la protección proactiva es la clave.