Ingeniería social + mesas de ayuda desprevenidas = pérdidas millonarias y una alerta global de ciberseguridad
La madrugada del 30 de abril de 2025, el colectivo de ransomware Scattered Spider irrumpió simultáneamente en las redes de Marks & Spencer (M&S) y la cooperativa británica Co‑op. Los atacantes suplantaron identidades en las mesas de ayuda internas y convencieron al personal de TI para restablecer credenciales administrativas, con apoyo de SIM‑swapping para obtener códigos de MFA.Latest news & breaking headlinesThe Independent
Cronología del incidente
- 28 abr: primeras interrupciones en servidores de M&S; BleepingComputer vincula la intrusión a Scattered Spider.BleepingComputer
- 30 abr: Co‑op detecta actividad anómala y apaga parte de su infraestructura para contener el ataque.The Guardian
- 01‑02 may: repercusiones bursátiles: M&S pierde ≈ 700 M £ de capitalización, y ambas cadenas reportan retrasos en entregas y escasez de productos.Al Jazeera
- 03 may: el NCSC emite directrices urgentes de “hardening” sobre procesos de recuperación de contraseñas y privilegios de soporte.Latest news & breaking headlines
Cómo opera Scattered Spider
A diferencia de muchos grupos de ransomware, sus miembros dominan el inglés nativo y se especializan en ataques de ingeniería social de alta precisión:
- Reconocimiento en foros de empleo y LinkedIn para perfilar empleados de TI.
- Spoofing de llamadas y SIM‑swapping para puentear MFA.
- Exfiltración rápida seguida de cifrado selectivo para maximizar presión sin disparar todas las alarmas.The Guardian
Impacto tangible
- Operativo: M&S congeló pedidos en línea durante cinco días; Co‑op vio roturas de stock en tiendas regionales.Latest news & breaking headlines
- Reputacional: medios internacionales—desde The Times hasta Reuters—amplificaron la noticia, afectando la confianza del consumidor.Reuters
- Económico: gastos de contención y recuperación estimados en > £12 M, sin contar litigios potenciales con empleados cuyo PII se expuso.Latest news & breaking headlines
Lecciones y mejores prácticas inmediatas
- Reforzar procesos de mesa de ayuda: prohibir resets de credenciales sensibles sin verificación fuera de banda y validación jerárquica.
- Autenticación multifactor robusta: incorporar FIDO2/hardware tokens para roles críticos y desactivar SMS‑MFA donde sea posible.
- Segregación de privilegios: aplicar RBAC estricto y rotación de contraseñas de servicio automatizada.
- Simulacros de ingeniería social: entrenar a todo el staff (no solo a TI) con campañas internas trimestrales que midan resiliencia humana.
- EDR + monitoreo 24/7: visibilidad continua para detectar movimientos laterales antes del cifrado masivo.aztechit.co.uk
Recomendaciones para empresas mexicanas
Aunque el ataque ocurrió en Reino Unido, los vectores son universales. Negocios en México —sobre todo retail, fintech y e‑commerce— deben:
- Auditar sus flujos de soporte: ¿quién puede “resetear” y cómo valida la identidad?
- Revisar políticas de BYOD y número corporativo: el SIM‑swapping sigue siendo barato y efectivo.
- Establecer acuerdos de nivel de servicio (SLA) con proveedores de ciberseguridad que incluyan tiempo máximo de contención (<1 h).
¿Tu empresa soportaría un ataque de este calibre?
En www.SiteSupremacy.com auditamos tu infraestructura, endurecemos tus políticas de ayuda y desplegamos monitoreo avanzado para que la próxima llamada de “soporte” sea solo rutina, no una brecha millonaria.