Durante el último mes, el sector minorista en el Reino Unido ha sido sacudido por una serie de ataques de ransomware que han puesto en jaque a compañías emblemáticas como Co-op y Marks & Spencer (M&S). Estas agresiones, atribuidas a DragonForce, una operación de ransomware como servicio (RaaS), han generado desabastecimiento en las estanterías y grandes dificultades en la operativa de las tiendas, provocando preocupación tanto en clientes como en los empleados y autoridades. La ola de ataques comenzó en el período festivo de Semana Santa y desde entonces el caos no ha cesado, evidenciando no solo la sofisticación técnica de los atacantes, sino también las vulnerabilidades existentes en la infraestructura tecnológica de las organizaciones afectadas. DragonForce ha irrumpido con fuerza en la escena cibernética desde su aparición en 2023 y se ha distinguido por un perfil híbrido, combinando hacktivismo político con motivaciones económicas. Originario de Malasia y vinculado a causas palestinas, ha evolucionado para desarrollar un modelo de negocio que ofrece a afiliados la capacidad de realizar ataques ransomware bajo su marca, lo que ha incrementado la dificultad para rastrear incursiones y minimizar sus impactos.
Las acciones recientes contra entidades del sector retail muestran cómo este grupo ha intensificado su enfoque hacia objetivos lucrativos, buscando maximizar ganancias monetarias y alterar la estabilidad de sectores económicos clave. El ataque contra Co-op ha sido especialmente preocupante para los clientes y la misma organización, que a través de su CEO Shirine Khoury-Haq informó sobre el compromiso de datos personales sensibles, incluyendo nombres, fechas de nacimiento y contactos, aunque afortunadamente sin exposición de contraseñas o datos financieros. La respuesta corporativa ha sido rápida pero limitada en cuanto a la restauración total de servicios, ya que medidas cautelares han obligado a suspender diversas funcionalidades para contener la amenaza y proteger a los miembros, dada la naturaleza de la cooperativa que hace de la seguridad de sus socios una prioridad. Por su parte, Marks & Spencer enfrenta desafíos operativos severos, con testimonios de empleados que han tenido que permanecer en las oficinas para mitigar los daños y puntos críticos que reflejan falta de preparación ante un incidente de esta magnitud. Tanto la Policía, a través de departamentos especializados, como el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) están colaborando estrechamente con las empresas afectadas para analizar la naturaleza de los ataques, compartir inteligencia y establecer protocolos que minimicen el impacto en la industria.
Sin embargo, hasta el momento no se ha confirmado si las intrusiones en Co-op, M&S y otras firmas forman parte de una campaña coordinada o si responden a actores independientes pero con tácticas similares. La cooperación entre entidades públicas y privadas es clave para mejorar las defensas y evitar que estos ataques criptográficos continúen perjudicando al comercio y a la economía en general. Desde la perspectiva técnica, DragonForce hace uso de varias estrategias conocidas en el ámbito de la ciberseguridad para penetrar en las redes objetivo. La combinación de correos electrónicos dirigidos con phishing, la explotación de vulnerabilidades famosas como Log4j y la utilización de credenciales robadas mediante técnicas de fuerza bruta son herramientas habituales que emplean para obtener acceso inicial. Más allá del acceso, desplegan herramientas de movimiento lateral y elevación de privilegios, como Cobalt Strike, mimikatz y escáneres de red, métodos que permiten consolidar su presencia y maximizar el daño.
Su ransomware, que en sus inicios se derivaba de versiones filtradas de LockBit y Black Locker, ha evolucionado hasta consolidar un software malicioso personalizado que incorpora elementos tomados del código de Conti, con algoritmos avanzados de cifrado que dificultan la recuperación de datos sin la clave apropiada. Esta tecnología sofisticada, combinada con la modalidad de servicio que ofrece a afiliados personalizar tanto el ataque como la gestión posterior, convierte a DragonForce en una amenaza particularmente versátil y peligrosa. Pueden adaptar sus campañas a diferentes sistemas operativos, incluyendo Linux y VMware ESXi, lo que amplía el rango de víctimas potenciales y la capacidad de daño transversal. Además, el uso de funciones para programar la ejecución retardada del ransomware o discriminar qué archivos serán cifrados representa un nivel de personalización que pone en jaque a los equipos de respuesta y recuperación. El impacto tangible en la experiencia del cliente y la operación diaria es visible: en M&S se han desactivado servicios fundamentales como pagos contactless y la modalidad de click-and-collect, mientras que Co-op ha tenido que desconectar varios sistemas críticos, afectando no solo a la operación comercial sino también a los mecanismos internos de comunicación y protección.
Esta disrupción prolongada aumenta la carga para los departamentos técnicos, que a menudo trabajan bajo presión extrema para contener el daño, recuperarse y garantizar que no se repitan brechas similares. Más allá del peligro inmediato, estos ataques tienen repercusiones de largo plazo para la confianza del consumidor y la imagen corporativa. Los consumidores exigen transparencia y seguridad, por lo que la filtración de datos personales, aunque limitada, genera preocupación y exigencias regulatorias. Las compañías implicadas han reiterado su compromiso con la protección de datos y están trabajando para fortalecer sus medidas internas. Este episodio desafía a toda la industria minorista a revisar sus políticas de ciberseguridad, implementar sistemas de detección temprana, y preparar planes de respuesta ante incidentes que contemplen escenarios de contagio rápido y masivo.
La evolución de amenazas como DragonForce refleja una tendencia global donde los grupos de ransomware adoptan modelos más empresariales y colaborativos, en ocasiones desplazando a las organizaciones criminales tradicionales. Estos grupos no solo se concentran en el cifrado de información, sino en la exfiltración y publicación de datos sensibles como medio para presionar al pago de rescates. La existencia de listas negras de empresas a atacar y la comercialización de variantes personalizadas evidencia un negocio ilegal muy estructurado y en constante innovación. Expertos en seguridad cibernética insisten en la importancia de fortalecer los aspectos humanos en la cadena de defensa, detectando intentos de phishing y gestionando con cuidado las credenciales de acceso. La inversión en parches puntuales para cerrar vulnerabilidades conocidas y un monitoreo continuo para detectar comportamientos anómalos son fundamentales para reducir el riesgo de compromisos futuros.
