Últimas entradas

¿Se puede prohibir a un trabajador decir cuánto cobra?

Una directiva establece que una empresa no puede prohibir a un trabajador decir cuánto cobra y pone el foco sobre la transparencia retributiva

Festivo en sábado: ¿Se debe compensar?

Una sentencia del TS y otra de la AN han agitado el debate en las empresas sobre si un festivo en sábado se debe compensar con un día de descanso adicional o no

¿Cómo controlar un negocio en vacaciones?

Con un programa de gestión es posible controlar un negocio en vacaciones automatizando el envío de informes diarios por email con los datos clave: clientes, ingresos, beneficios...

Ciberataque a Marks & Spencer: cómo perder 350 millones de euros en un día

El ciberataque a Marks & Spencer registrado en plena Semana Santa ha paralizado el ecommerce de la compañía y echado por tierra su reputación digital

La mañana del viernes 18 de abril, a Stuart Machin el café le estaba sentando delicioso. Tenía por delante un fin de semana de descanso y las magnitudes económicas de la compañía que dirige mostraban una salud envidiable. Seguramente el mejor momento desde su fundación en 1884. En apenas unas horas, su Semana Santa saltaría por los aires. Lo que tenía por delante era la pesadilla de su carrera: un ciberataque a Marks & Spencer de consecuencias imprevisibles.

Scattered Spider, un grupo de ciberdelincuentes al parecer formado por veinteañeros e incluso adolescentes, acababa de llevar a cabo uno de los ciberataques de la década. La dimensión del golpe no deja lugar a dudas: 350 millones de euros en pérdidas, según admitió este miércoles el propio Machin.

Los actores hostiles lograron paralizar los sistemas más críticos de Marks & Spencer, desde la tienda online hasta la logística de entregas. Lo hicieron utilizando un malware del grupo DragonForce y recurriendo a sofisticadas técnicas de ingeniería social, una de las señas de identidad de Scattered Spider.

Suplantación de identidad

Básicamente, lo que lograron fue suplantar la identidad de personal de la compañía y sortear los protocolos del servicio de asistencia.

Desde el viernes 18 hasta el domingo, el colapso fue total. Como en el dominó, una ficha cayendo detrás de otra. Interrupción de pedidos, sistemas de stock inoperativos, pagos sin contacto desactivados, alimentos pudriéndose por fallos en la cadena de frío…

La actividad de la icónica cadena minorista británica se ha desmoronado durante todas estas semanas. Su director general ha admitido que el ciberataque a Marks & Spencer podría extenderse hasta julio y que habrá que esperar meses para determinar exactamente las consecuencias del incidente.

Ciberataque a Marks & Spencer: las lecciones

Hay unanimidad entre los expertos en ciberseguridad: la crisis de M&S ha puesto negro sobre blanco todo lo que está en juego. Todo lo que puede perder una empresa afectada por esta clase de ataques:

  • Interrupción del servicio al cliente. El ecommerce de M&S sigue sin operar al 100 %. Hay millones de clientes afectados.
  • Pérdida de datos sensibles. Los actores hostiles han exfiltrado información personal de miles de clientes, incluyendo nombres, direcciones e historiales de pedidos.
  • Impacto reputacional. Aunque M&S ha gestionado con transparencia la crisis, el golpe a la confianza no es menor.
  • Coste operativo. El cierre de sistemas obligó a revisar manualmente inventarios y temperaturas, una vuelta al pasado analógico que supuso una pérdida de eficiencia.
  • Pérdida bursátil. La empresa ha visto recortado su valor de mercado en cientos de millones.

Quizás lo más llamativo de este incidente es que meses antes del ciberataque a Marks & Spencer, la compañía se había sometido a un simulacro de seguridad. Una prueba de esfuerzo que, supuestamente, habría validado sus estructuras de ciberseguridad.

A la caza del eslabón más débil

La elección no fue casual. Marks & Spencer maneja grandes volúmenes de transacciones financieras y de datos personales. Petróleo para los ciberdelincuentes.

No solo eso, todo indica que la intrusión tuvo su origen en la cadena de suministro, en los miles de proveedores que tiene la compañía. Sin duda, un punto crítico que miles de empresas de todos los sectores y tamaños siguen sin proteger de forma adecuada.

Los expertos en ciberseguridad llevan años alertando sobre la necesidad de robustecer los activos digitales propios, pero también los de terceros. Los de todas esas firmas con las que se mantienen relaciones a diario. Cada vez hay más razones por las que aumentan los ciberataques contra negocios.

La crisis, en cifras

Trasladado a magnitudes económicas, el ciberataque a Marks & Spencer es sencillamente dramático. Un aviso a navegantes sobre lo mucho que está en juego.

Los primeros cálculos de la empresa estiman pérdidas de unos 15 millones de libras a la semana. Las ventas de ropa o productos del hogar figuran entre las más afectadas. Hay que recordar además que las coberturas de los seguros tienen límites económicos y temporales, lo que podría echar por tierra los planes de M&S para contener la dimensión de la crisis.

Stuart Machin ha insistido en que el incidente no supondrá despidos, pero son muchos los analistas que dudan de este propósito. Sea como fuere, el director general sí ha anunciado que se va a acelerar el gasto en tecnología y seguridad.

En concreto, la marca quiere acortar en seis meses una actualización de todo el pool tecnológico, un proyecto para el que se había marcado un plazo de dos años.

La lección, está claro, es más que evidente. Seas grande o pequeña, actúes en el sector que actúes, las empresas de hoy ya no pueden ver la ciberseguridad como un gasto: es una inversión.

El ciberataque a Marks & Spencer se produjo durante a mediados de abril, durante la Semana Santa

Una indispensable, además. No entenderlo es poner en juego demasiado.

Manual de buenas prácticas

Es por todo ello que el ciberataque a Marks & Spencer ha vuelto a poner de nuevo negro sobre blanco el manual de buenas prácticas que toda compañía debería interiorizar. Acciones de ciberseguridad para proteger a una empresa de manera proactiva. Estas son las principales recomendaciones para evitar un ciberataque como el de M&S:

  • Formación constante en ciberseguridad. Todos los trabajadores, propios y de proveedores, juegan un papel crítico a la hora de hablar de amenazas digitales. Programas regulares de formación sobre ataques como phishing e ingeniería social son de gran utilidad para prevenir ciberataques.
  • Simulacros periódicos. Ejecutar ejercicios de ataque controlado permite evaluar respuestas y detectar vulnerabilidades.
  • Gestión del riesgo en terceros. Es preciso auditar de forma regular a los proveedores tecnológicos y exigir protocolos de seguridad alineados con los propios.
  • Sistemas de detección y respuesta en tiempo real. Las soluciones EDR y SIEM permiten identificar comportamientos anómalos antes de que escalen.
  • Planes de contingencia y continuidad de negocio. Tener protocolos de actuación para incidentes de esta naturaleza reduce el tiempo de respuesta y mitiga daños.
  • Cifrado de datos y autenticación multifactor. Proteger los datos en reposo y en tránsito, y usar doble verificación en todos los accesos, ya no es una recomendación. Es un must.
  • Copias de seguridad offline. Es la última línea de defensa frente a ciberataques como un ransomware.
  • Revisión y actualización constante de software. Especialmente de activos como un ERP, un CMS, un ecommerce o cualquier otra plataforma relacionada con la gestión de la empresa.
  • Seguro de ciberseguridad. Esta póliza puede ser de enorme ayuda para evaluar las coberturas y exclusiones con detalle.
  • Comunicar con transparencia. La reputación de una marca se construye durante años, pero puede destruirse en un día. En caso de una crisis como la de M&S, la gestión reputacional es tan importante como la técnica.

En conclusión

El ciberataque a Marks & Spencer va a trascender como uno de los más graves de la historia reciente del retail, pero puede utilizarse también en positivo. Como una suerte de aprendizaje de todo lo que no se debe hacer, y también lo que sí, para prevenir un incidente que puede ser fatal para la continuidad de negocio de cualquier compañía.

Porque si algo ha quedado claro es que la era digital está trufada de oportunidades, cierto, pero también de grandes amenazas.

Último

¿Se puede despedir a un trabajador por criticar a un negocio en redes sociales?

En España es posible despedir a un trabajador por criticar a un negocio en redes sociales si su comportamiento fue grave y culpable y causó un daño a la reputación de la empresa

Más de 600.000 comprobaciones fiscales a empresas y autónomos en 2025

Las comprobaciones fiscales a empresas y autónomos aumentaron en un 6,4% con respecto al año anterior y se han saldado con 1.515 millones de € recaudados

Kilometraje de los trabajadores exento: 8 claves

Resolvemos todas las dudas sobre el kilometraje de los trabajadores exento para evitar que se tenga en cuenta al tributar en el IRPF

Registro horario digital obligatorio: ¿Cuándo se va a aprobar?

El Ministerio de Trabajo ha insistido en que la aprobación del registro horario digital obligatorio se producirá en algún Consejo de Ministros antes del parón de agosto

Newsletter

No te pierdas

¿Se puede despedir a un trabajador por criticar a un negocio en redes sociales?

En España es posible despedir a un trabajador por criticar a un negocio en redes sociales si su comportamiento fue grave y culpable y causó un daño a la reputación de la empresa

Más de 600.000 comprobaciones fiscales a empresas y autónomos en 2025

Las comprobaciones fiscales a empresas y autónomos aumentaron en un 6,4% con respecto al año anterior y se han saldado con 1.515 millones de € recaudados

Kilometraje de los trabajadores exento: 8 claves

Resolvemos todas las dudas sobre el kilometraje de los trabajadores exento para evitar que se tenga en cuenta al tributar en el IRPF

Registro horario digital obligatorio: ¿Cuándo se va a aprobar?

El Ministerio de Trabajo ha insistido en que la aprobación del registro horario digital obligatorio se producirá en algún Consejo de Ministros antes del parón de agosto

¿Se puede prohibir a un trabajador decir cuánto cobra?

Una directiva establece que una empresa no puede prohibir a un trabajador decir cuánto cobra y pone el foco sobre la transparencia retributiva

¿Se puede despedir a un trabajador por criticar a un negocio en redes sociales?

En España es posible despedir a un trabajador por criticar a un negocio en redes sociales si su comportamiento fue grave y culpable y causó un daño a la reputación de la empresa

Más de 600.000 comprobaciones fiscales a empresas y autónomos en 2025

Las comprobaciones fiscales a empresas y autónomos aumentaron en un 6,4% con respecto al año anterior y se han saldado con 1.515 millones de € recaudados

Kilometraje de los trabajadores exento: 8 claves

Resolvemos todas las dudas sobre el kilometraje de los trabajadores exento para evitar que se tenga en cuenta al tributar en el IRPF