Hace más de una semana que Marks & Spencer, una de las marcas más emblemáticas y reconocidas del Reino Unido, enfrenta una ola de caos debido a un ciberataque masivo que ha paralizado su capacidad de operar con normalidad. Aunque para muchas empresas una interrupción técnica puede ser un problema pasajero que se soluciona en cuestión de horas o días, el caso de M&S ha demostrado ser mucho más complicado y costoso, sumiendo al gigante minorista en pérdidas millonarias y una caída en el valor de sus acciones. La pregunta que muchos se hacen es: ¿por qué está tardando tanto en resolverse esta crisis digital? Para entender la respuesta, es fundamental analizar el tipo de ataque que sufrió, su impacto y las complejidades técnicas y estratégicas que implican estos incidentes en el actual panorama cibernético. El ataque que sufrió M&S fue identificado por expertos en seguridad como un caso de ransomware, un tipo de malware particularmente dañino y sofisticado. El ransomware funciona bloqueando el acceso a sistemas críticos o cifrando datos vitales para la operación de una empresa, exigiendo un rescate económico – usualmente en criptomonedas – para liberar la información o restaurar el acceso.
En este caso, la variante de ransomware llamada DragonForce fue señalada como la responsable, operada por un grupo criminal que también permite el uso de su software malicioso a otros hackers a cambio de una comisión. Esta dinámica complica aún más la persecución y la recuperación, ya que implica un entramado internacional con múltiples actores involucrados. Recuperar los sistemas tras un ataque de esta naturaleza no es simplemente cuestión de apagar y prender un servidor, ni de aplicar un parche rápido. Las empresas afectadas deben primero realizar un diagnóstico exhaustivo para identificar la magnitud y extensión del daño, lo cual puede implicar detectar qué archivos han sido comprometidos, qué sistemas han sido infectados y en qué medida la infraestructura tecnológica ha sido saboteada. En el caso de M&S, la complejidad aumenta por la envergadura y distribución geográfica de sus operaciones.
Ser uno de los mayores minoristas del Reino Unido significa que su red tecnológica es altamente interconectada y depende de numerosos sistemas críticos en tiendas físicas, logística, ventas online y procesamiento de pagos. Un elemento crucial en esta situación es la detención de los pedidos en línea y la suspensión de las entregas. Esto responde a que la continuidad comercial de la tienda depende en gran medida de sus plataformas digitales y su sistema de inventarios actualizado en tiempo real. Con estos sistemas afectados, la empresa se ve obligada a pausar sus operaciones digitales para evitar mayores pérdidas o errores en la cadena de suministro, lo que a su vez genera un efecto dominó en la experiencia del cliente y en la confianza del consumidor. La pausa, aunque necesaria, alarga el tiempo requerido para restablecer todos los servicios de forma segura.
Además, las empresas tienen la opción de pagar el rescate o intentar resolver el problema por sí mismas. Sin embargo, como advierten expertos en ciberseguridad, pagar a los delincuentes no es garantía de recuperar el control pleno de los sistemas. Los criminales cibernéticos son poco confiables y muchas veces el código para desbloquear los datos no funciona completamente o contiene más amenazas ocultas. Por otro lado, reconstruir toda la infraestructura tecnológica desde respaldos seguros y limpias las redes de cualquier rastro del ataque es un proceso que puede extenderse por semanas, dada la profundidad del daño. Los expertos señalan que resolver este tipo de incidente equivale a desactivar una bomba digital.
Este símil refleja no solo el nivel de estrés y concentración requerido por los equipos técnicos, sino también la logística y coordinación que se necesita para que cada área de la empresa vuelva a funcionar coordinadamente. Esto implica la labor conjunta de especialistas en redes, seguridad, auditoría de sistemas, gestión de datos y comunicación interna y externa, para supervisar que todo se restablece sin que quede vulnerabilidades latentes que puedan ser explotadas nuevamente. En el contexto de M&S, la situación se complicó aún más por el perfil del grupo hacker al que se atribuye el ataque, conocido como Scattered Spider. Esta red de ciberdelincuentes, con distintos alias, ha demostrado flexibilidad y sofisticación en sus ataques, y cuenta con miembros incluso jóvenes, lo que refleja una nueva tendencia en el mundo del cibercrimen donde la juventud y tecnología se combinan para hacer ataques notables. Aunque todavía no se han confirmado exigencias formales de rescate públicas, la presión sobre M&S es palpable, siendo una empresa con gran visibilidad y responsabilidad frente a millones de clientes.
La preocupación también gira en torno a la seguridad de los datos personales de los clientes. Aunque M&S ha asegurado que por el momento no hay evidencias que indiquen un compromiso de información personal sensible, la situación es dinámica y las empresas suelen tardar en determinar el alcance real del daño. En un mundo donde la reutilización de contraseñas es común entre usuarios, especialistas recomiendan precaución y cambiar credenciales utilizadas en otros servicios, como una medida preventiva. Toda esta complejidad técnica, unida a los riesgos reputacionales y operativos, explica en gran medida la lentitud en la recuperación completa de M&S. A diferencia de incidentes técnicos causados por errores software o fallas simples, un ataque de ransomware es un sabotaje intencional con consecuencias multifacéticas, que obliga a hacer balances cuidadosamente coordinados entre seguridad, negocio y confianza pública.
![Good Readers and Good Writers [pdf]](/images/99633228-637D-468B-BF04-30F2F5FFE9EF)
