Marks & Spencer confirma robo de datos de clientes tras ataque de ransomware
La cadena minorista británica Marks & Spencer (M&S) ha confirmado oficialmente que los datos de sus clientes fueron comprometidos durante un ciberataque ocurrido el mes pasado. El incidente involucró el uso de ransomware para cifrar servidores corporativos, una táctica cada vez más común entre grupos cibercriminales.
Detalles técnicos del ataque
Según la información disponible, los atacantes lograron infiltrarse en los sistemas de M&S mediante técnicas aún no especificadas, aunque es probable que hayan utilizado:
- Phishing dirigido a empleados con acceso privilegiado
- Explotación de vulnerabilidades en servicios expuestos a Internet
- Compromiso de credenciales mediante fuerza bruta o fugas previas
Una vez dentro de la red, los atacantes desplegaron ransomware para cifrar los servidores afectados. Este tipo de malware suele utilizar algoritmos de cifrado asimétrico como RSA-2048 o AES-256, haciendo prácticamente imposible la recuperación de los datos sin la clave privada.
Impacto y respuesta
M&S se vio obligada a resetear las contraseñas de todos los clientes como medida preventiva. Aunque la empresa no ha detallado el alcance exacto de la filtración, típicamente este tipo de incidentes compromete:
- Nombres completos
- Direcciones de correo electrónico
- Direcciones físicas
- Historiales de compra
- En algunos casos, detalles de pago
La compañía ha activado sus protocolos de respuesta a incidentes, que incluyen notificación a autoridades reguladoras como la Information Commissioner’s Office (ICO) en Reino Unido, tal como exige el Reglamento General de Protección de Datos (GDPR).
Lecciones de seguridad
Este incidente destaca varias mejores prácticas que las organizaciones deberían implementar:
- Copias de seguridad offline siguiendo la regla 3-2-1 (3 copias, 2 medios diferentes, 1 fuera del sitio)
- Segmentación de redes para limitar el movimiento lateral
- Autenticación multifactor (MFA) para todos los accesos privilegiados
- Monitoreo continuo de amenazas mediante soluciones EDR/XDR
- Simulaciones periódicas de respuesta a incidentes
Para los clientes afectados, se recomienda:
- Cambiar contraseñas (no solo en M&S sino en otros servicios donde se reutilizaran)
- Habilitar autenticación en dos factores donde esté disponible
- Estar alerta a posibles intentos de phishing que aprovechen el incidente
- Monitorizar cuentas bancarias por actividad sospechosa
Este caso se suma a una tendencia creciente de ataques ransomware contra el sector retail, que en 2023 representaron el 15% de todos los incidentes reportados según el Verizon DBIR. Las organizaciones deben priorizar la seguridad de datos de clientes como un componente crítico de su estrategia de negocio.
