Ataques coordinados en abril de 2025 contra Marks & Spencer y Co-op: un único evento cibernético según el CMC

Introducción

En abril de 2025, dos de los principales minoristas del Reino Unido, Marks & Spencer (M&S) y Co-op, fueron objeto de ataques cibernéticos altamente sofisticados que, según la reciente evaluación del Cyber Monitoring Centre (CMC), deben considerarse como un “evento cibernético combinado”. Este organismo independiente, creado por el sector asegurador británico para la categorización y análisis de incidentes de alto impacto, ha subrayado la existencia de una única campaña orquestada detrás de ambos ataques, lo que pone en evidencia la creciente profesionalización y coordinación de las amenazas dirigidas al sector retail.

Contexto del Incidente

El sector minorista europeo viene sufriendo un notable incremento en el número y gravedad de incidentes de ciberseguridad en los últimos años, en parte debido a la digitalización acelerada de procesos y la interconexión de plataformas de venta, logística y gestión de clientes. En este contexto, los ataques sufridos por M&S y Co-op han recibido especial atención, tanto por el perfil de las víctimas como por el modus operandi empleado.

La investigación del CMC revela que ambos ataques ocurrieron en un intervalo de 72 horas, afectando a infraestructuras críticas de las cadenas, incluyendo terminales de punto de venta (POS), redes internas y sistemas de gestión de inventario. Un único actor de amenazas reclamó la autoría de ambos incidentes a través de foros en la dark web, lo que reforzó la hipótesis de una campaña coordinada.

Detalles Técnicos

Aunque los informes completos aún están en fase de publicación, fuentes técnicas han confirmado la explotación de vulnerabilidades conocidas y recientemente descubiertas en infraestructuras Windows y Linux empleadas por ambas compañías. En concreto, se ha identificado la utilización de la vulnerabilidad CVE-2024-4577 (privilegio de escalada en sistemas Windows Server 2019 y 2022) y CVE-2025-1021 (fuga de credenciales en servidores Samba), ambas con exploits públicos disponibles en los frameworks Metasploit y Cobalt Strike.

El vector de ataque inicial fue un spear phishing dirigido a empleados con privilegios elevados, aprovechando credenciales expuestas en repositorios GitHub y foros de intercambio de datos. Tras la intrusión inicial, los atacantes desplegaron cargas útiles (payloads) para la exfiltración de datos y la propagación lateral mediante técnicas de “living off the land” (T1047, T1086 según MITRE ATT&CK), además del uso de herramientas legítimas como PowerShell y PsExec.

Entre los Indicadores de Compromiso (IoC) identificados destacan direcciones IP asociadas a nodos de salida de Tor, hashes de archivos maliciosos vinculados a la familia de ransomware BlackCat y dominios de comando y control (C2) previamente relacionados con campañas contra el sector financiero europeo.

Impacto y Riesgos

Se estima que los ataques afectaron a más de 2.5 millones de registros de clientes, incluyendo datos personales, historiales de compra y, en algunos casos, información parcial de tarjetas bancarias, lo que expone a ambas compañías a potenciales sanciones bajo el Reglamento General de Protección de Datos (GDPR). El impacto económico, considerando la interrupción de operaciones, los costes de remediación y la posible pérdida de confianza de los consumidores, podría superar los 15 millones de libras esterlinas solo en el primer trimestre posterior al incidente.

El riesgo de ataques de follow-up (como fraudes y phishing dirigidos a clientes) es elevado, así como la posibilidad de que los datos exfiltrados sean revendidos o reutilizados en futuras campañas.

Medidas de Mitigación y Recomendaciones

El CMC y el Centro Nacional de Seguridad Cibernética (NCSC) han emitido una serie de recomendaciones para el sector retail, entre las que destacan:

– Actualización inmediata de sistemas a versiones no vulnerables (parches para CVE-2024-4577 y CVE-2025-1021).
– Revisión de políticas de acceso privilegiado y autenticación multifactor obligatoria.
– Segmentación de redes internas y monitorización avanzada de tráfico lateral.
– Implementación de sistemas EDR/XDR con detección de movimientos laterales y uso anómalo de herramientas administrativas.
– Refuerzo de la formación en concienciación de amenazas para empleados y pruebas regulares de phishing simulado.

Opinión de Expertos

Especialistas en ciberseguridad han señalado que la sofisticación y rapidez de la campaña evidencia un alto grado de preparación y conocimiento de las arquitecturas TI de las víctimas. Según Laura Gómez, responsable de Threat Intelligence en una consultora británica, “la combinación de exploits recientes, técnicas de movimiento lateral y la exfiltración rápida de datos muestra que estamos ante grupos que invierten tiempo en el reconocimiento y la personalización de sus ataques”.

Implicaciones para Empresas y Usuarios

Las empresas del sector retail deben replantearse sus estrategias de gestión de riesgos y resiliencia frente a incidentes cibernéticos, priorizando la protección de datos personales y la continuidad operativa. El cumplimiento de normativas como GDPR y la inminente entrada en vigor de NIS2 en la Unión Europea obligan a reforzar controles técnicos, legales y organizativos.

Para los usuarios, la principal recomendación es la vigilancia sobre comunicaciones sospechosas y el cambio de contraseñas en las plataformas afectadas, además de la monitorización de movimientos inusuales en cuentas bancarias.

Conclusiones

El caso de Marks & Spencer y Co-op marca un precedente en la categorización y respuesta a incidentes cibernéticos de gran escala, destacando la importancia de la cooperación público-privada y el análisis avanzado de amenazas. La consolidación de eventos bajo una única campaña coordinada debe alertar a todos los sectores críticos sobre la evolución de los actores de amenazas y la necesidad de una defensa en profundidad actualizada y dinámica.

(Fuente: feeds.feedburner.com)