Últimas entradas

Las prioridades de la Inspección de Trabajo para los próximos 3 años

0
Incrementar la vigilancia sobre el tiempo de trabajo o las condiciones salariales es una de las prioridades de la Inspección de Trabajo para 2025, 2026 y 2027

Lector OCR para digitalizar facturas: ¿Qué es?

0
Con un lector OCR para digitalizar facturas, los negocios no tienen que picar a mano las facturas que reciben en sus programas de facturación

Alerta: Descargar WinRAR 7.13 es clave para evitar ataques de 0-day

0
Los malos están explotando una vulnerabilidad 0-day en el software de descompresión de archivos WinRAR que se solventa al descargar WinRAR 7.13
Roberto Ayuste
Roberto Ayuste

Ciberataque a Marks & Spencer: cómo perder 350 millones de euros en un día

Tecnología

El ciberataque a Marks & Spencer registrado en plena Semana Santa ha paralizado el ecommerce de la compañía y echado por tierra su reputación digital

La mañana del viernes 18 de abril, a Stuart Machin el café le estaba sentando delicioso. Tenía por delante un fin de semana de descanso y las magnitudes económicas de la compañía que dirige mostraban una salud envidiable. Seguramente el mejor momento desde su fundación en 1884. En apenas unas horas, su Semana Santa saltaría por los aires. Lo que tenía por delante era la pesadilla de su carrera: un ciberataque a Marks & Spencer de consecuencias imprevisibles.

Scattered Spider, un grupo de ciberdelincuentes al parecer formado por veinteañeros e incluso adolescentes, acababa de llevar a cabo uno de los ciberataques de la década. La dimensión del golpe no deja lugar a dudas: 350 millones de euros en pérdidas, según admitió este miércoles el propio Machin.

Los actores hostiles lograron paralizar los sistemas más críticos de Marks & Spencer, desde la tienda online hasta la logística de entregas. Lo hicieron utilizando un malware del grupo DragonForce y recurriendo a sofisticadas técnicas de ingeniería social, una de las señas de identidad de Scattered Spider.

Suplantación de identidad

Básicamente, lo que lograron fue suplantar la identidad de personal de la compañía y sortear los protocolos del servicio de asistencia.

Desde el viernes 18 hasta el domingo, el colapso fue total. Como en el dominó, una ficha cayendo detrás de otra. Interrupción de pedidos, sistemas de stock inoperativos, pagos sin contacto desactivados, alimentos pudriéndose por fallos en la cadena de frío…

La actividad de la icónica cadena minorista británica se ha desmoronado durante todas estas semanas. Su director general ha admitido que el ciberataque a Marks & Spencer podría extenderse hasta julio y que habrá que esperar meses para determinar exactamente las consecuencias del incidente.

Ciberataque a Marks & Spencer: las lecciones

Hay unanimidad entre los expertos en ciberseguridad: la crisis de M&S ha puesto negro sobre blanco todo lo que está en juego. Todo lo que puede perder una empresa afectada por esta clase de ataques:

  • Interrupción del servicio al cliente. El ecommerce de M&S sigue sin operar al 100 %. Hay millones de clientes afectados.
  • Pérdida de datos sensibles. Los actores hostiles han exfiltrado información personal de miles de clientes, incluyendo nombres, direcciones e historiales de pedidos.
  • Impacto reputacional. Aunque M&S ha gestionado con transparencia la crisis, el golpe a la confianza no es menor.
  • Coste operativo. El cierre de sistemas obligó a revisar manualmente inventarios y temperaturas, una vuelta al pasado analógico que supuso una pérdida de eficiencia.
  • Pérdida bursátil. La empresa ha visto recortado su valor de mercado en cientos de millones.

Quizás lo más llamativo de este incidente es que meses antes del ciberataque a Marks & Spencer, la compañía se había sometido a un simulacro de seguridad. Una prueba de esfuerzo que, supuestamente, habría validado sus estructuras de ciberseguridad.

A la caza del eslabón más débil

La elección no fue casual. Marks & Spencer maneja grandes volúmenes de transacciones financieras y de datos personales. Petróleo para los ciberdelincuentes.

No solo eso, todo indica que la intrusión tuvo su origen en la cadena de suministro, en los miles de proveedores que tiene la compañía. Sin duda, un punto crítico que miles de empresas de todos los sectores y tamaños siguen sin proteger de forma adecuada.

Los expertos en ciberseguridad llevan años alertando sobre la necesidad de robustecer los activos digitales propios, pero también los de terceros. Los de todas esas firmas con las que se mantienen relaciones a diario. Cada vez hay más razones por las que aumentan los ciberataques contra negocios.

La crisis, en cifras

Trasladado a magnitudes económicas, el ciberataque a Marks & Spencer es sencillamente dramático. Un aviso a navegantes sobre lo mucho que está en juego.

Los primeros cálculos de la empresa estiman pérdidas de unos 15 millones de libras a la semana. Las ventas de ropa o productos del hogar figuran entre las más afectadas. Hay que recordar además que las coberturas de los seguros tienen límites económicos y temporales, lo que podría echar por tierra los planes de M&S para contener la dimensión de la crisis.

Stuart Machin ha insistido en que el incidente no supondrá despidos, pero son muchos los analistas que dudan de este propósito. Sea como fuere, el director general sí ha anunciado que se va a acelerar el gasto en tecnología y seguridad.

En concreto, la marca quiere acortar en seis meses una actualización de todo el pool tecnológico, un proyecto para el que se había marcado un plazo de dos años.

La lección, está claro, es más que evidente. Seas grande o pequeña, actúes en el sector que actúes, las empresas de hoy ya no pueden ver la ciberseguridad como un gasto: es una inversión.

El ciberataque a Marks & Spencer se produjo durante a mediados de abril, durante la Semana Santa

Una indispensable, además. No entenderlo es poner en juego demasiado.

Manual de buenas prácticas

Es por todo ello que el ciberataque a Marks & Spencer ha vuelto a poner de nuevo negro sobre blanco el manual de buenas prácticas que toda compañía debería interiorizar. Acciones de ciberseguridad para proteger a una empresa de manera proactiva. Estas son las principales recomendaciones para evitar un ciberataque como el de M&S:

  • Formación constante en ciberseguridad. Todos los trabajadores, propios y de proveedores, juegan un papel crítico a la hora de hablar de amenazas digitales. Programas regulares de formación sobre ataques como phishing e ingeniería social son de gran utilidad para prevenir ciberataques.
  • Simulacros periódicos. Ejecutar ejercicios de ataque controlado permite evaluar respuestas y detectar vulnerabilidades.
  • Gestión del riesgo en terceros. Es preciso auditar de forma regular a los proveedores tecnológicos y exigir protocolos de seguridad alineados con los propios.
  • Sistemas de detección y respuesta en tiempo real. Las soluciones EDR y SIEM permiten identificar comportamientos anómalos antes de que escalen.
  • Planes de contingencia y continuidad de negocio. Tener protocolos de actuación para incidentes de esta naturaleza reduce el tiempo de respuesta y mitiga daños.
  • Cifrado de datos y autenticación multifactor. Proteger los datos en reposo y en tránsito, y usar doble verificación en todos los accesos, ya no es una recomendación. Es un must.
  • Copias de seguridad offline. Es la última línea de defensa frente a ciberataques como un ransomware.
  • Revisión y actualización constante de software. Especialmente de activos como un ERP, un CMS, un ecommerce o cualquier otra plataforma relacionada con la gestión de la empresa.
  • Seguro de ciberseguridad. Esta póliza puede ser de enorme ayuda para evaluar las coberturas y exclusiones con detalle.
  • Comunicar con transparencia. La reputación de una marca se construye durante años, pero puede destruirse en un día. En caso de una crisis como la de M&S, la gestión reputacional es tan importante como la técnica.

En conclusión

El ciberataque a Marks & Spencer va a trascender como uno de los más graves de la historia reciente del retail, pero puede utilizarse también en positivo. Como una suerte de aprendizaje de todo lo que no se debe hacer, y también lo que sí, para prevenir un incidente que puede ser fatal para la continuidad de negocio de cualquier compañía.

Porque si algo ha quedado claro es que la era digital está trufada de oportunidades, cierto, pero también de grandes amenazas.

Último

Legal y fiscal

El reglamento de registro horario digital. ¿Qué sabemos por ahora?

0
El Gobierno ha anunciado que va a aprobar un reglamento de registro horario digital para obligar a las empresas a usar programas informáticos
Legal y fiscal

¿Existe la obligación de aceptar pagos en efectivo en España?

0
El Ministerio de Consumo ha multado a varios negocios por infringir su obligación de aceptar pagos en efectivo por parte de los consumidores
Legal y fiscal

Las prioridades de la Inspección de Trabajo para los próximos 3 años

0
Incrementar la vigilancia sobre el tiempo de trabajo o las condiciones salariales es una de las prioridades de la Inspección de Trabajo para 2025, 2026 y 2027
Legal y fiscal

225.000€. Impedir el acceso de la Inspección de Trabajo a una empresa puede salir muy caro

0
La ley castiga con sanciones de hasta 225.000€ a las empresas que decidan impedir el acceso de la Inspección de Trabajo a sus instalaciones

Newsletter

No te pierdas

Legal y fiscal

El reglamento de registro horario digital. ¿Qué sabemos por ahora?

0
El Gobierno ha anunciado que va a aprobar un reglamento de registro horario digital para obligar a las empresas a usar programas informáticos
Legal y fiscal

¿Existe la obligación de aceptar pagos en efectivo en España?

0
El Ministerio de Consumo ha multado a varios negocios por infringir su obligación de aceptar pagos en efectivo por parte de los consumidores
Legal y fiscal

Las prioridades de la Inspección de Trabajo para los próximos 3 años

0
Incrementar la vigilancia sobre el tiempo de trabajo o las condiciones salariales es una de las prioridades de la Inspección de Trabajo para 2025, 2026 y 2027
Legal y fiscal

225.000€. Impedir el acceso de la Inspección de Trabajo a una empresa puede salir muy caro

0
La ley castiga con sanciones de hasta 225.000€ a las empresas que decidan impedir el acceso de la Inspección de Trabajo a sus instalaciones
Gestión y CRM

Posicionamiento SEO en las IA. Cómo lograr que ChatGPT cite a tu negocio

0
El posicionamiento SEO en las IA va a ser una técnica clave para las empresas que deseen hacer marketing digital para conseguir clientes y ventas
Roberto Ayuste
Roberto Ayuste
Redactor especializado en Tecnología, Digitalización empresarial e Innovación. Me apasionan los software que nos permiten transformar nuestra forma de trabajar, vender y vivir. Además, estoy siempre al día de las principales tendencias en ciberseguridad

El reglamento de registro horario digital. ¿Qué sabemos por ahora?

Martina Cobos -
El Gobierno ha anunciado que va a aprobar un reglamento de registro horario digital para obligar a las empresas a usar programas informáticos
Leer más

¿Existe la obligación de aceptar pagos en efectivo en España?

Martina Cobos -
El Ministerio de Consumo ha multado a varios negocios por infringir su obligación de aceptar pagos en efectivo por parte de los consumidores
Leer más

Las prioridades de la Inspección de Trabajo para los próximos 3 años

Martina Cobos -
Incrementar la vigilancia sobre el tiempo de trabajo o las condiciones salariales es una de las prioridades de la Inspección de Trabajo para 2025, 2026 y 2027
Leer más

Nosotros

Más reciente

Más popular

Suscríbete

© Software CRM -Todos los derechos reservados