Cómo unos hackers asaltadores de casinos han provocado el colapso digital de Marks & Spencer
Un ciberataque atribuido a una banda de hackers adolescentes ha logrado poner contra las cuerdas al gigante de la distribución Marks & Spencer: desde el 22 de abril ha tenido que paralizar su tienda online y la contratación de empleados por Internet, tiene problemas para suministrar productos frescos a sus supermercados y ha tenido que reconocer que “algunos datos personales de sus clientes” han sido robados, aunque aseguran que no sus datos bancarios. El balance, hasta ahora, es una caída del 14% en bolsa y 50 millones de euros de pérdidas cada semana.
Expertos del sector de la ciberseguridad apuntan que los autores del ciberataque son una grupo de hackers adolescentes o veinteañeros vinculados a la red Scattered Spider que subcontratan un programa denominado DragonForce. “Estamos en un caso de Crime as a Service, el crimen organizado como negocio” señala Francesc Xavier Vendrell, analista senior de ciberseguridad de Parlem Tech, el área de servicios tecnológicos de la operadora Parlem. “Han conseguido introducir un programa en la empresa que ha encriptado sus datos y piden dinero para descifrarlo. Si la empresa paga contribuye a su negocio. Y además no tiene ninguna seguridad de que le den las claves, de que funcionen o de que no hayan vendido los datos de los clientes”.
Compradoras frente al escaparate de un supermercado de Marks & Spencer
NEIL HALL / EFESe cree que Scattered Spider es un grupo de jóvenes, principalmente británicos y estadounidenses, algunos tan jóvenes como de 16 años, que se han conocido y se coordinan en foros digitales. Su primer ataque se remonta a 2022 y desde entonces se les atribuyen un centenar de ataques a comercios, operadores de telecomunicaciones, entidades financieras y empresas del sector del juego. Su dispersión, falta de jerarquía y operativa descentralizada ha permitido que la red siga operativa pese a que la policía ha logrado detener a varios de sus miembros. El último, en abril, Tyler Buchanan, un escocés de 23 años detenido en España desde donde fue extraditado a Estados Unidos.
Las víctimas más conocidas de Scattered Spider, hasta ahora, habían sido Caesars y MGM Resorts , dos operadores de casinos de Las Vegas, a los que exigieron cuantiosos rescates. Según el broker de seguros Brown & Brown, especializado en ciberriesgos, se cree que Caesars les pagó alrededor de 15 millones de euros para poder volver a operar.
Lee tambiénEstos hackers se han especializado en ataques de “ingeniería social”, que utilizan campañas de correos electrónicos o SMS falsos (phising o smishing) para engañar a sus destinatarios para que les faciliten sus datos personales. En el caso de Marks & Spencer atacaron a empleados del departamento de informática y consiguieron que empleados claves actualizasen sus claves de acceso gracias a que les llamaron por teléfono (los piratas informáticos de Scattered Spider hablan un inglés nativo, de manera que los convencieron).
Pere Martínez, socio de la consultora ITech by Plexus, explica que el ataque muestra que “la principal vía de acceso malicioso a una empresa sigue siendo un error humano” y que en este caso el ataque podría haberse evitado “con un sistema de doble identificación más robusto”.
Esta parece ser también la opinión del Centro Nacional de Ciberseguridad del Reino Unido, que ha dado nuevas indicaciones a las empresas para evitar ese tipo de ataques, requiriendo una prueba de identidad adicional a los empleados del departamento de informática, o en las identificaciones “de riesgo” (cuando alguien se conecta en horas o localizaciones que no son habituales).
Un supermercado de Marks & Spencer. En muchos de ellos ha fallado el suministro de productos frescos
Chris Ratcliffe / Bloomberg“Estamos ante una cadena de errores –señala Vendrell. A su jucio, “parece que Marks & Spencer no tenía un plan de contingencia para hacer frente a un ataque o sistemas de recuperación rápida, como copias de seguridad inmutables, por ejemplo. Una empresa no puede permitirse estar tantos días así”.
Prácticamente en los mismos días en que Marks & Spencer fue atacado lo fueron también Harrods y Co-op, otras dos grandes empresas de distribución británica. Un supuesto portavoz de DragonForce reivindicó en la BBC que grupos que usan sus virus están detrás de los tres ataques, aunque las autoridades británicas no han podido confirmar que los tres ataques hayan sido realizados por las mismas personas.
Otros ataques: webs falsas y botsJosé Luis Rojo, socio de ciberseguridad de la consultora EY, asegura que “el comercio es uno de los sectores que recibe más ataques porque los hackers pueden monetizarlos con cierta facilidad. Hay grupos de cibercriminales especializados en ese sector”.
El “ransomware” o secuestro de datos como el que ha sufrido Marks & Spencer es común a todos los sectores pero los comercios sufren ataques específicos como la suplantación de identidad del comercio. “Vemos continuamente la creación de webs y dominios que se usan para suplantar tiendas verdaderas. Cambian letras: una O por un 0, por ejemplo. Y con una campaña de phising dirigen a los consumidores a su web falsa”. Así, le estafan (nunca recibe la compra que ha realizado) y además roban sus datos para otras estafas. “Hay un auténtico mercado de datos personales en la dark web”, señala Rojo.
Lee tambiénOtro ataque típico del sector son los bots, “la pesadilla de los operadores de comercio electrónico”, añade Rojo. “Pueden rastrear toda la información del comercio para ofrecer estudios sobre sus ofertas y venderlos. Saturan la página porque a veces hay muchos. Y también pueden realizar operaciones muy rápidas, comprando grandes volúmenes de productos en oferta para revenderlos luego en otras plataformas, más caros, lo que perjudica al consumidor”.
lavanguardia
