Últimas entradas

Las prioridades de la Inspección de Trabajo para los próximos 3 años

0
Incrementar la vigilancia sobre el tiempo de trabajo o las condiciones salariales es una de las prioridades de la Inspección de Trabajo para 2025, 2026 y 2027

Lector OCR para digitalizar facturas: ¿Qué es?

0
Con un lector OCR para digitalizar facturas, los negocios no tienen que picar a mano las facturas que reciben en sus programas de facturación

Alerta: Descargar WinRAR 7.13 es clave para evitar ataques de 0-day

0
Los malos están explotando una vulnerabilidad 0-day en el software de descompresión de archivos WinRAR que se solventa al descargar WinRAR 7.13
Roberto Ayuste
Roberto Ayuste

5 consejos para evitar un ciberataque como el de M&S que ha causado pérdidas millonarias

Tecnología

Para evitar un ciberataque como el de M&S es necesario formar a trabajadores y proveedores sobre ingeniería social y contar con mecanismos de detección de incidentes robustos

Ya lo dice el refranero popular: cuando veas las barbas de tu vecino cortar, pon las tuyas a remojar. A finales de abril de 2025, se produjo un gravísimo ciberataque a Marks & Spencer, una compañía líder en el comercio minorista de Reino Unido.

La empresa calcula que tardará casi tres meses en volver a la completa normalidad y que el incidente habrá provocado un impacto en sus beneficios de unos 350 millones de euros.

Esta astronómica cifra es el resultado de que:

  • La compra online sigue paralizada y no estará plenamente operativa hasta julio.
  • Los sistemas de control de stock automatizados pasaron a offline.
  • Se produjeron interrupciones en el abastecimiento a las tiendas físicas.

Fue tal el impacto del incidente que han tenido que analizarse hasta 600 sistemas internos para asegurarse que no se han visto dañados e ir poniéndolos online de nuevo.

Ingeniería social + ransomware, un cóctel explosivo

Para evitar un ciberataque como el de M&S es fundamental tener en cuenta cómo se produjo. Podríamos sintetizar el modus operandi del grupo delictivo DragonForce mediante dos puntos clave:

  • Uso de ingeniería social para engañar a trabajadores o a proveedores y conseguir acceder a los sistemas corporativos.
  • Empleo de ransomware y técnicas sofisticadas para secuestrar información empresarial y datos de clientes y extorsionar a las empresas.

Por lo tanto, para evitar un ciberataque como el de M&S es fundamental:

  • Fortalecer la formación frente a la ingeniería social.
  • Prestar atención a los proveedores y contratistas de una empresa que pueden tener acceso a sus sistemas internos.
  • Desplegar una estrategia eficaz para monitorizar los sistemas y redes, detectar incidentes lo antes posible y acometer la respuesta a los mismos con la máxima agilidad.

Cómo evitar un ciberataque como el de M&S que se lleve por delante a una empresa

Una cuestión que no podemos dejar de mentar al abordar cómo evitar un ciberataque como el de M&S en otras empresas es que sus cargos directivos deben ser conscientes de que ningún negocio está a salvo.

Aunque la realidad se empeñe en demostrar lo contrario, no pocos empresarios creen que su empresa no está en el punto de mira de los ciberdelincuentes porque no se trata de una gran compañía que factura miles de millones de euros al año como Marks & Spencer.

Este enfoque puede convertirse en un clamoroso error que se lleve por delante la estabilidad financiera de un negocio.

Hoy en día, las pymes también están fuertemente expuestas a los ciberataques. ¿Por qué? Usan tecnología para realizar sus actividades diarias y, muchas de ellas, comercializan sus productos o servicios de forma online a través de webs corporativas, e-commerce, SEM o anuncios en redes sociales.

Por eso, antes de hablar de los consejos para evitar un ciberataque como el de M&S, debemos comenzar señalando una obviedad: ser consciente de que tu empresa puede sufrir un incidente de seguridad que la paralice durante semanas o meses y que provoque una fuerte caída de las ventas es el primer paso para evitar un ciberataque como el de M&S.

Formar a los equipos de sistemas y a las plantillas contra la ingeniería social

Una técnica empleada por los delincuentes para realizar ataques contra empresas es suplantar la identidad de trabajadores o proveedores y engañar a los equipos de sistemas o de soporte informático. ¿Con qué fin? Que les reseteen las credenciales de acceso a sistemas y programas corporativos.

Por eso, es imprescindible que los profesionales que manejan las credenciales de seguridad estén formados en las técnicas más punteras de ingeniería social y sean capaces de detectar comportamientos anómalos.

Además, es fundamental, de cara a evitar un ciberataque como el de M&S que los equipos de soporte cuenten con procedimientos más severos y rigurosos para verificar la identidad de los usuarios que solicitan un reseteo de sus credenciales antes de llevarlo a cabo.

En este sentido, es recomendable que se tenga que producir una llamada telefónica o por videoconferencia para validar la identidad y dotar de mayor seguridad al proceso.

Implementar un sistema de autenticación multifactor robusto

En la misma línea, una práctica de ciberseguridad básica para evitar un ciberataque como el de M&S es desplegar un sistema de autenticación multifactor en todos los sistemas corporativos.

De tal forma que los usuarios tengan que introducir varias credenciales o tokens recibidos en dispositivos diferentes y por diversos medios para entrar a los sistemas y redes internos.

Además, resulta crítico que los trabajadores y los proveedores no faciliten datos que permitan superar el proceso de autenticación multifactor a un tercero, ni aprueben solicitudes de autenticación multifactor cuando no hayan iniciado ellos mismos el intento de acceso a un sistema empresarial.

Es posible evitar un ciberataque como el de M&S si se refuerzan los mecanismos de detección y respuesta a incidentes

Evaluar en materia de ciberseguridad a los proveedores que tienen acceso a los sistemas corporativos

Los responsables de Marks & Spencer han insistido en que el incidente de seguridad sufrido por la compañía no se debió a una deficiencia de su estructura de seguridad, sino que se engañó a un proveedor para poder meterse dentro de la empresa.

Este hecho evidencia, una vez más, que la postura de ciberseguridad de un proveedor debe ser un elemento a tener en cuenta a la hora de contratarlo si se le va a dar acceso a sistemas y activos empresariales.

Además, es importante que se tenga en cuenta a los proveedores a la hora de trazar la estrategia de ciberseguridad y de monitorizar los accesos a los sistemas empresariales.

Fortalecer los mecanismos de detección de comportamientos anómalos

La mejor forma de evitar un ciberataque como el de M&S o, por lo menos, reducir su impacto es contar con mecanismos de monitorización continua y detección temprana de amenazas.

La NCSC del Reino Unido, equivalente al INCIBE en España, recomendó a las empresas británicas que desplegaran acciones de ciberseguridad básicas como:

  • Supervisar el uso no autorizado de cuentas.
  • Auditar periódicamente cuentas de administrador de dominio, empresa o Cloud, de cara a verificar el acceso legítimo a las mismas.
  • Detectar inicios de sesión desde fuentes inusuales, como VPNs residenciales.

A estas recomendaciones para evitar un ciberataque como el de M&S podríamos sumar otras como:

  • Bloquear cuentas que puedan estar comprometidas.
  • Supervisar los registros que arrojan los cortafuegos de seguridad para detectar señales que indiquen que la salida de grandes volúmenes de datos hacia IP inusuales.

Contar con un plan de respuesta a incidentes proactivo

Cuando se detecta un incidente de seguridad, cada segundo cuenta. Disponer de un plan de respuesta a incidentes que se pueda activar desde el primer momento es clave para evitar un ciberataque como el de M&S y contener la propagación del mismo a través de los sistemas empresariales.

Si se tarda demasiado tiempo en responder a un incidente, se corre el riesgo de que gran parte de la infraestructura tecnológica se vea afectada.

Dependencia tecnológica y canales digitales de venta: Hay que tomarse la ciberseguridad muy en serio

Como deslizamos antes, a la hora de evitar un ciberataque como el de M&S es imprescindible que los cargos directivos de las empresas, incluidos los pequeños y medianos negocios, sean conscientes de que:

  • Sus negocios no pueden funcionar sin tecnología y sin estar conectados a internet. La dependencia tecnológica de las empresas es real y la parálisis provocada por el apagón eléctrico sufrido por la península ibérica en abril de 2025 es la mejor demostración de ello.
  • Vender online es imprescindible en esta era y se ha transformado en una vía de negocio crítica, pero ello también conlleva una mayor exposición a los ciberataques. Si M&S estima que va a perder 350 millones de euros es, en gran medida, por el derrumbe de sus ventas a través de la web de la compañía.

Por eso, a la hora de evitar un ciberataque como el de M&S es imprescindible tomarse muy en serio la ciberseguridad e invertir en ella. Dotar a una empresa de mecanismos de detección y respuesta a incidentes, elaborar manuales de buenas prácticas e invertir en formación en materia de ciberseguridad ya no es una posibilidad que tienen las empresas sobre la mesa, sino una necesidad estratégica.

El coste de invertir en ciberseguridad es notablemente inferior al impacto económico que un incidente grave puede causar. El caso de Marks & Spencer es la enésima demostración de ello.

Si una pyme no puede evitar un ciberataque como el de M&S es muy probable que no pueda sobrevivir financieramente a las consecuencias que el incidente puede tener sobre sus ingresos (pérdida de ventas y clientes) y gastos (para recuperar la normalidad y afrontar posibles sanciones por protección de datos).

Último

Legal y fiscal

El reglamento de registro horario digital. ¿Qué sabemos por ahora?

0
El Gobierno ha anunciado que va a aprobar un reglamento de registro horario digital para obligar a las empresas a usar programas informáticos
Legal y fiscal

¿Existe la obligación de aceptar pagos en efectivo en España?

0
El Ministerio de Consumo ha multado a varios negocios por infringir su obligación de aceptar pagos en efectivo por parte de los consumidores
Legal y fiscal

Las prioridades de la Inspección de Trabajo para los próximos 3 años

0
Incrementar la vigilancia sobre el tiempo de trabajo o las condiciones salariales es una de las prioridades de la Inspección de Trabajo para 2025, 2026 y 2027
Legal y fiscal

225.000€. Impedir el acceso de la Inspección de Trabajo a una empresa puede salir muy caro

0
La ley castiga con sanciones de hasta 225.000€ a las empresas que decidan impedir el acceso de la Inspección de Trabajo a sus instalaciones

Newsletter

No te pierdas

Legal y fiscal

El reglamento de registro horario digital. ¿Qué sabemos por ahora?

0
El Gobierno ha anunciado que va a aprobar un reglamento de registro horario digital para obligar a las empresas a usar programas informáticos
Legal y fiscal

¿Existe la obligación de aceptar pagos en efectivo en España?

0
El Ministerio de Consumo ha multado a varios negocios por infringir su obligación de aceptar pagos en efectivo por parte de los consumidores
Legal y fiscal

Las prioridades de la Inspección de Trabajo para los próximos 3 años

0
Incrementar la vigilancia sobre el tiempo de trabajo o las condiciones salariales es una de las prioridades de la Inspección de Trabajo para 2025, 2026 y 2027
Legal y fiscal

225.000€. Impedir el acceso de la Inspección de Trabajo a una empresa puede salir muy caro

0
La ley castiga con sanciones de hasta 225.000€ a las empresas que decidan impedir el acceso de la Inspección de Trabajo a sus instalaciones
Gestión y CRM

Posicionamiento SEO en las IA. Cómo lograr que ChatGPT cite a tu negocio

0
El posicionamiento SEO en las IA va a ser una técnica clave para las empresas que deseen hacer marketing digital para conseguir clientes y ventas
Roberto Ayuste
Roberto Ayuste
Redactor especializado en Tecnología, Digitalización empresarial e Innovación. Me apasionan los software que nos permiten transformar nuestra forma de trabajar, vender y vivir. Además, estoy siempre al día de las principales tendencias en ciberseguridad

El reglamento de registro horario digital. ¿Qué sabemos por ahora?

Martina Cobos -
El Gobierno ha anunciado que va a aprobar un reglamento de registro horario digital para obligar a las empresas a usar programas informáticos
Leer más

¿Existe la obligación de aceptar pagos en efectivo en España?

Martina Cobos -
El Ministerio de Consumo ha multado a varios negocios por infringir su obligación de aceptar pagos en efectivo por parte de los consumidores
Leer más

Las prioridades de la Inspección de Trabajo para los próximos 3 años

Martina Cobos -
Incrementar la vigilancia sobre el tiempo de trabajo o las condiciones salariales es una de las prioridades de la Inspección de Trabajo para 2025, 2026 y 2027
Leer más

Nosotros

Más reciente

Más popular

Suscríbete

© Software CRM -Todos los derechos reservados