Una araña dispersa es sospechosa de un importante ciberataque a M&S

El ciberataque a Marks & Spencer (M&S) está vinculado al conocido grupo Scattered Spider. Analice el grave impacto del incidente en M&S, incluyendo fallos en los pagos sin contacto, retrasos en las entregas online y una importante escasez de existencias en las tiendas físicas.

El reciente ciberataque que interrumpió significativamente las operaciones del minorista británico Marks & Spencer (M&S) ahora ha sido vinculado a un notorio colectivo de piratas informáticos conocido como Scattered Spider, el mismo grupo implicado en el ataque de alto perfil de 2023 a MGM Resorts .

Según el informe inicial de Hackread.com del 23 de abril de 2025, el ataque provocó la interrupción de los sistemas de pago sin contacto, el servicio de pedidos Click and Collect y retrasos en las entregas en línea, lo que generó frustración en los clientes por la imposibilidad de usar estos servicios cruciales. El informe también indicó que M&S había pausado los pedidos en línea y que los expertos en ciberseguridad creían que los síntomas eran compatibles con un ataque de ransomware, en el que los datos se cifran y se exige un rescate para su liberación.

Las últimas actualizaciones revelan detalles asombrosos. Según informes, el acceso inicial de los hackers a los sistemas de M&S pudo haber ocurrido mucho antes, en febrero, cuando, supuestamente, robaron el archivo NTDS.dit del dominio de Windows. Este archivo es una base de datos crucial que contiene todas las cuentas de usuario y contraseñas de una red Windows administrada por los Servicios de Directorio Activo. Obtener y descifrar este archivo habría proporcionado a los atacantes una lista de contraseñas en texto plano, lo que les habría permitido moverse lateralmente por la red de M&S y obtener el control de más sistemas.

Tras este acceso inicial, la investigación revela que los atacantes implementaron el cifrador DragonForce contra las máquinas virtuales de M&S que se ejecutaban en hosts VMware ESXi. El ataque principal se lanzó el 24 de abril. Los investigadores han señalado a Scattered Spider como el grupo responsable.

El incidente ha tenido un impacto significativo, que va más allá de la paralización de los servicios en línea. La compañía ha admitido " zonas de disponibilidad limitada " en sus tiendas físicas, y los clientes reportan estantes vacíos en todo el país, lo que sugiere interrupciones en la cadena de suministro . Además, las compras en línea se han pausado y las transacciones con tarjetas de regalo siguen afectadas.

El impacto financiero es significativo: se informa que alrededor de £650 millones se eliminaron de la valoración del mercado de valores de M&S y las pérdidas diarias estimadas por la suspensión de las ventas en línea podrían rondar los £3,5 millones.

El minorista ha sido hermético sobre los detalles del ciberataque y el plazo de recuperación total, afirmando que desconectar los sistemas fue una medida proactiva que provocó la escasez actual y que está trabajando para restablecer la normalidad. Sin embargo, el personal de la tienda prevé que las interrupciones podrían durar una semana más.

Según la evaluación de Hackread.com sobre Scattered Spider, se trata de un grupo de hackers único que no opera como una unidad cohesionada, sino como un grupo de individuos que varían con cada ataque, lo que dificulta su rastreo. Son conocidos por usar ingeniería social avanzada y el ransomware BlackCat .

Se cree que muchos de sus miembros son hablantes nativos de inglés, procedentes de Europa Occidental y Estados Unidos. Aunque algunos miembros fueron arrestados en Estados Unidos y el Reino Unido, Scattered Spider sigue activo y peligroso, como lo demuestra su presunta participación en el ciberataque a M&S, lo que pone de relieve su continua capacidad para desestabilizar a importantes organizaciones.