En las últimas semanas, la reconocida empresa británica Marks & Spencer (M&S) ha sido centro de atención tras sufrir un grave ciberataque que ha provocado interrupciones operativas y riesgos significativos para la seguridad de sus datos. Se ha confirmado que este incidente está vinculado a un sofisticado ataque de ransomware realizado por threat actors asociados con un colectivo conocido como Scattered Spider. Este suceso pone de relieve tanto la creciente complejidad de las amenazas cibernéticas contemporáneas como la necesidad urgente de reforzar las infraestructuras digitales en empresas de gran tamaño y presencia global. Marks & Spencer, una multinacional con más de 64,000 empleados y más de 1,400 tiendas en el mundo, abarca una amplia gama de mercados, desde alimentos hasta moda y productos para el hogar. El impacto del ataque se ha hecho sentir principalmente en la interrupción de sistemas cruciales, entre ellos los pagos sin contacto y el servicio de pedidos en línea, elementos vitales para la experiencia del cliente y la operatividad diaria en un mercado altamente competitivo.
El ataque se remonta a una brecha inicial que, según fuentes confidenciales, pudo haber comenzado tan temprano como en febrero. Los atacantes lograron robar el archivo NTDS.dit, que es fundamental en el entorno Windows ya que almacena las contraseñas hash de cuentas dentro del dominio Active Directory. La extracción de esta información ha permitido a los atacantes acceder a credenciales que facilitan el movimiento lateral dentro de la red de la empresa, incrementando el riesgo y el alcance del ataque. Este procedimiento no es casual, sino parte de una metodología avanzada que demuestra la preparación y el alto nivel de conocimiento técnico de quienes están detrás de estos ataques.
Al obtener una puerta trasera mediante estas credenciales, los atacantes pudieron implementar un ransomware conocido como DragonForce en los servidores virtualizados VMware ESXi de la empresa, lo que derivó en la encriptación masiva de datos y la paralización de servicios en muchos puntos críticos. La respuesta de Marks & Spencer ha sido rápida y coordinada, solicitando el apoyo de compañías expertas en ciberseguridad como CrowdStrike, Microsoft y Fenix24. Estas colaboraciones buscan no solo la recuperación de sistemas sino también determinar el origen, la naturaleza y el alcance del ataque para reforzar las defensas y evitar nuevas intrusiones. Sin embargo, debido a la sensibilidad de la situación, la empresa ha sido discreta y no ha compartido detalles públicos específicos sobre el incidente. El colectivo conocido como Scattered Spider, también referido bajo otros alias como 0ktapus, Starfraud, UNC3944 o Octo Tempest, ha ganado notoriedad en los últimos años por sus sofisticadas técnicas de ataque.
En lugar de ser un grupo homogéneo, Scattered Spider agrupa a varios individuos, principalmente jóvenes de habla inglesa que operan en foros, canales de Telegram y servidores de Discord, donde coordinan en tiempo real sus acciones maliciosas. Este perfil atípico dificulta que las autoridades y expertos en ciberseguridad puedan rastrear sus movimientos o identificar a todos los participantes. Muchos de estos actores están involucrados en ataques sociales complejos que emplean ingeniería social, phishing persistente, ataques de bombardeo a autenticación multifactor y técnicas de intercambio ilícito de SIM para penetrar entornos corporativos. El avance de esta red criminal hizo su aparición pública más notoria en septiembre de 2023 cuando penetraron en la gigante estadounidense MGM Resorts mediante una llamada falsa que simulaba ser de un empleado. Esta intrusión permitió la implementación del ransomware BlackCat que cifró más de 100 hipervisores VMware ESXi, destacando la colaboración entre ciberdelincuentes angloparlantes y grupos rusos de ransomware, una alianza que ha redefinido el panorama de las amenazas cibernéticas a nivel global.
Desde entonces, quienes utilizan las tácticas asociadas a Scattered Spider han estado afiliados o trabajan en conjunto con diferentes operaciones de ransomware, incluyendo RansomHub, Qilin y recientemente DragonForce. Este último se caracteriza por ofrecer un modelo de negocio novedoso que permite a otros equipos criminales utilizar sus herramientas bajo una marca blanca, facilitando la expansión y sofisticación de estos ataques. La estrategia típica de Scattered Spider combina el robo de credenciales mediante ataques dirigidos a plataformas de inicio de sesión único, el fraude a través de SIM swaps y la ingeniería social orientada a manipular personal de soporte técnico con fines maliciosos. Estas técnicas incrementan la dificultad de defensa ante una amenaza que evoluciona rápidamente y se adapta a las medidas tradicionales de protección. En paralelo, las fuerzas de seguridad de varios países han intensificado sus esfuerzos para desmantelar estas redes.
Estados Unidos, Reino Unido y España, entre otros, han llevado a cabo arrestos en los últimos dos años que reflejan el compromiso internacional para combatir estas formas de criminalidad digital. No obstante, la dispersión y la naturaleza descentralizada de estos actores representan un desafío constante en el ámbito de la ciberseguridad. Para empresas como Marks & Spencer, la experiencia vivida representa una llamada de atención sobre la importancia de adoptar políticas y tecnología de seguridad avanzadas. La segmentación de redes, el monitoreo continuo, la capacitación del personal en la identificación de riesgos y el uso adecuado de múltiples factores de autenticación se han convertido en medidas indispensables para blindar la información y los servicios. Además, este caso destaca la necesidad de contar con planes de respuesta efectivos y colaboración estrecha con expertos externos.
La resiliencia ante ataques como el ocurrido no solo depende de la infraestructura técnica, sino también del factor humano, la gestión del riesgo y la capacidad de recuperación organizacional. El impacto en los consumidores y empleados de M&S ha sido significativo, con retrasos en pedidos y suspensión temporal de actividades, reflejando cómo un incidente cibernético puede trascender lo digital para afectar directamente la experiencia de usuario y la confianza en una marca reconocida. En consecuencia, proteger los sistemas y datos se convierte en una prioridad estratégica para mantener la competitividad y reputación en un entorno globalizado. A nivel mundial, la proliferación de ataques ransomware como los de DragonForce demuestra que la criminalidad cibernética se encuentra en constante evolución. La interconexión entre diferentes grupos y la aparición de modelos comerciales que ofrecen servicios de ransomware a terceros complican el panorama y exigen un enfoque integral para la gestión de la ciberseguridad.
Finalmente, la entrada en escenarios de amenaza de actores con diversidad técnica y mentalidad colaborativa, como Scattered Spider, supone que las empresas deben diversificar sus estrategias de defensa. La vigilancia proactiva, la colaboración público-privada y el fomento de la cultura de ciberseguridad son elementos cruciales para enfrentar con éxito estos desafíos emergentes. En un mundo donde la tecnología es columna vertebral de casi todas las operaciones, la seguridad digital debe ser priorizada para asegurar el futuro de las organizaciones y la protección de sus clientes y colaboradores.
