Las cadenas británicas de retail Marks & Spencer (M&S) y Co-op Group anunciaron el pasado 22 de abril que estaban investigando un ciberataque en sus sistemas internos, que fue confirmado públicamente el 6 de mayo. Según informes de BleepingComputer, los atacantes lograron engañar a los equipos de soporte técnico por teléfono, fingiendo ser empleados legítimos para obtener restablecimientos de contraseña y acceso a sus redes corporativas.
Modo de ataque y alcance
Los hackers emplearon una avanzada táctica de ingeniería social: contactaron a los help desks de IT, se hicieron pasar por trabajadores de las empresas y consiguieron que les reconfiguraran credenciales privilegiadas. Con ese acceso, se internaron en los sistemas y pudieron exfiltrar datos de usuarios y empleados. Se estima que hasta 20 millones de registros —entre nombres, correos y otros detalles de clientes— quedaron expuestos en los primeros reportes de la investigación interna de M&S y Co-op.
Impacto en operaciones y finanzas
La intrusión obligó a Marks & Spencer a suspender los pedidos online y apagar temporalmente su plataforma de venta de ropa y artículos para el hogar, provocando una caída del 12 % en el valor de sus acciones. Deutsche Bank calcula que las pérdidas iniciales ascienden a unas £30 millones (≈ 40 M USD), con unos £15 millones semanales en costos operativos mientras duren las interrupciones, aunque el seguro de ciberriesgos cubrirá gran parte de la factura.
Co-op, por su parte, confirmó que aproximadamente el 10 % de sus 2 300 tiendas sufrieron problemas con pagos con tarjeta, limitándose a transacciones en efectivo en algunos establecimientos. La compañía también investiga el alcance exacto de la extracción de datos, aunque asegura que no se comprometió información bancaria de los clientes.
Recomendaciones y respuesta institucional
El National Cyber Security Centre (NCSC) del Reino Unido aconseja revisar y endurecer los protocolos de verificación para help desks, implementar autenticación de múltiples factores y reforzar la formación en contra de ataques de phishing y suplantación de identidad. Además, se recomienda realizar auditorías periódicas de los mecanismos de restablecimiento de credenciales para detectar anomalías de forma proactiva.
Mientras tanto, ambos minoristas trabajan con equipos forenses externos para sanear sus infraestructuras y restaurar servicios afectados. Las investigaciones siguen abiertas para determinar si el grupo “Scattered Spider” u otro colectivo quedó detrás de este raid dirigido a los sistemas de IT de los retailers británicos.