Cientos de millones perdidos por el factor humano

El ciberataque que afectó a Marks & Spencer (M&S) en abril de 2025 se originó por un error humano en un proveedor externo

• Un ciberataque causa pérdidas de hasta 300 millones de libras a la cadena británica Marks & Spencer

Según algunos medios, se trató de un fraude por intercambio de SIM (SIM-swap), una técnica que explota la identidad móvil para burlar la autenticación multifactor (MFA) y acceder a sistemas críticos

¿Qué es el SIM-swap?

Es una forma de suplantación de identidad en la que los atacantes consiguen que el número de teléfono móvil de una persona sea transferido a una tarjeta SIM que controlan. Esto les permite:

• Suplantar la identidad del usuario en comunicaciones
• Recibir códigos de 2FA enviados por SMS
• Restablecer contraseñas de cuentas personales o corporativas
• Acceder a sistemas internos

Paso a paso del ataque a M&S

1. Suplantación de un empleado
   Los atacantes obtuvieron el control del número móvil de un miembro del personal de M&S usando técnicas de ingeniería social.
2. Manipulación del servicio de soporte (helpdesk)
   Con el número ya en su poder, se hicieron pasar por el empleado y convencieron al helpdesk de M&S para restablecer sus credenciales.
3. Acceso a sistemas internos
   Ya con acceso, navegaron libremente por la red corporativa, accedieron a sistemas críticos y comprometieron operaciones internas.

Se estima que el coste total del ataque superará los £300 millones. El ataque paralizó la tienda online y los sistemas de pago sin contacto, y causó escasez de productos. Las pérdidas por ventas no realizadas alcanzan los £3.5 millones diarios.

La confianza de los consumidores cayó un 30%. El precio de las acciones bajó un 7%, eliminando unos £700 millones de valor de mercado. La recuperación total no se espera hasta julio de 2025.

Lecciones clave

• Importancia de la ciberseguridad en la cadena de suministro: Es fundamental que no solo la empresa, sino también sus proveedores, mantengan altos estándares de seguridad.
• Formación del personal: Los empleados deben estar capacitados para reconocer y evitar intentos de ingeniería social.
• Implementación de medidas de seguridad robustas: El uso de autenticación multifactor y la supervisión constante de la red pueden ayudar a prevenir accesos no autorizados.