El error humano en el centro de los recientes ataques de ransomware a gigantes minoristas británicos

Varios ataques recientes de ransomware contra minoristas británicos demuestran que el error humano es un factor primordial en las violaciones de la ciberseguridad. Los recientes incidentes en los que se han visto implicados Marks & Spencer (M&S), Harrods y Co-op ponen de relieve cómo el riesgo humano desempeña un papel fundamental a la hora de posibilitar estos ataques. Aunque las vulnerabilidades técnicas contribuyen al problema, el factor subyacente a menudo sigue siendo el comportamiento humano, ya sea a través de credenciales comprometidas o de protocolos de asistencia explotados. 

Ataque a Marks & Spencer: Interrupción prolongada y consecuencias para los proveedores 

El gigante minorista británico Marks & Spencer ha estado trabajando este mes para hacer frente a las consecuencias de un importante ataque de ransomware. El incidente se atribuye a los actores de la amenaza conocidos como Scattered Spider. El ataque interrumpió los sistemas de pago, paralizó los pedidos en línea y obligó a cientos de trabajadores de almacén a quedarse en casa. En el momento de redactar este informe, los pedidos en línea siguen en pausa, y la empresa ha retirado las ofertas de empleo de su sitio web y ha paralizado los esfuerzos de contratación. Algunas tiendas se han enfrentado a la escasez de alimentos al desconectarse ciertos sistemas para gestionar el ataque. Los proveedores, entre ellos Greencore y Nails Inc, dijeron a la BBCque se han producido interrupciones, y algunos han recurrido a procesos manuales para mantener el ritmo de la demanda. Aunque las vulnerabilidades técnicas desempeñaron un papel, la causa fundamental se remonta al riesgo humano, concretamente a la explotación de las credenciales de los empleados.

Según múltiples informes, los atacantes vulneraron los sistemas de la empresa obteniendo el archivo NTDS.dit de un controlador de dominio de Windows, que contenía credenciales con hash. Estas credenciales fueron adquiridas probablemente a través de tácticas de ingeniería social, como el phishing o el bombardeo de autenticación multifactor (MFA), donde los usuarios son abrumados con solicitudes MFA hasta que inadvertidamente aprueban una. 

 El coste financiero del ataque al M&S es significativo. Las interrupciones de los pedidos en línea le costaron a la empresa aproximadamente 3,8 millones de libras esterlinas al día, mientras que el incidente más amplio eliminó potencialmente entre 500 y 700 millones de libras esterlinas de su valor de mercado. La cotización de la empresa bajó más de 14% días después del ataque. Los daños ponen de relieve cómo la intersección del error humano y el ransomware puede tener consecuencias catastróficas para las empresas. 

La ingeniería social conduce al acceso a la red y al robo de datos en Co-op incidente desbloquea el acceso a la red 

Co-op, otro importante minorista del Reino Unido, también se convirtió en objetivo este mes. Los ciberdelincuentes explotaron las vulnerabilidades humanas dirigiéndose directamente al personal informático. Según los informes, los atacantes utilizaron técnicas de ingeniería social para convencer a los trabajadores de TI de que restablecieran la contraseña de un empleado legítimo, permitiendo el acceso no autorizado a sistemas críticos. Una vez dentro, los atacantes se movieron lateralmente a través de la red, obteniendo un acceso más profundo y potencialmente cosechando datos sensibles, incluyendo partes de la base de datos de miembros.

El impacto del ataque es grave en las islas de Escocia, donde Co-op es el principal minorista de comestibles. Muchas tiendas afirman estar sufriendo escasez de alimentos frescos, como leche, fruta y verduras. Las entregas a las tiendas de todo el Reino Unido se vieron interrumpidas debido al impacto del ataque en los sistemas logísticos de Co-op. 

Para contener la amenaza, Co-op tomó medidas proactivas como inhabilitar parcialmente el acceso a Internet, exigir a los empleados que mantuvieran las cámaras encendidas durante las reuniones e instruir al personal para que verificara la identidad de los participantes en las llamadas. Estas acciones reflejan un enfoque estratificado para mitigar el movimiento lateral potencial una vez que se produce una brecha. 

El Centro Nacional de Ciberseguridad (NCSC, por sus siglas en inglés) también ha publicado orientaciones tras los ataques, aconsejando a los minoristas que refuercen los procedimientos de restablecimiento de contraseñas del servicio de asistencia para reducir el riesgo de infracciones similares. Esta orientación llega mientras los grupos de ransomware siguen evolucionando sus tácticas. Según el último informe de la Coalición, las peticiones de rescate disminuyeron en un 22% en 2024, con una media de 1,1 millones de dólares, y en la última mitad del año las peticiones cayeron por debajo del millón de dólares por primera vez en más de dos años. Este descenso se atribuye a un cambio de estrategia, ya que los atacantes se centran cada vez más en el robo de datos en lugar de recurrir a la extorsión basada en el cifrado, lo que pone de relieve la necesidad de unas prácticas sólidas de protección de datos.

El comercio minorista bajo ataque: Harrods también atacada por actores de amenazas 

Harrods, los emblemáticos grandes almacenes de lujo del Reino Unido, también confirmó recientemente que fue blanco de un ciberataque. En respuesta a los intentos de acceso no autorizado, Harrods restringió de forma proactiva el acceso a Internet en todos sus centros, incluido su buque insignia de Knightsbridge y su plataforma en línea, para salvaguardar sus sistemas. Aunque la empresa no ha revelado detalles concretos sobre la brecha, sí confirmó que se trataba de tácticas de ingeniería social.

Objetivos humanos, actores humanos. Araña dispersa y DragonForce: Una alianza de ataque centrada en los humanos 

Los actores de la amenaza que están detrás de los ataques son conocidos como Scattered Spider y están vinculados a DragonForce, un grupo de ransomware que opera como proveedor de Ransomware-as-a-Service (RaaS). DragonForce reivindicó la autoría de los ataques contra M&S, Co-op y el intento de pirateo de Harrods. Los expertos en seguridad creen que, aunque DragonForce ofrece la infraestructura del ransomware, Scattered Spider se encuentra entre los afiliados que la utilizan para llevar a cabo los ataques. Según la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), en lugar de basarse en exploits técnicos, estos grupos manipulan a los empleados mediante tácticas como ataques de fatiga MFA, intercambio de SIM, suplantación de personal de soporte informático y ataques de phishing. Su enfoque en explotar el comportamiento humano en lugar de los sistemas los distingue de los grupos de ransomware más tradicionales. Muchos grupos de ransomware se están alejando cada vez más de basarse únicamente en el malware, centrándose en cambio en el robo de datos confidenciales y credenciales para la extorsión o la venta en foros de la web oscura. Esta evolución refleja una creciente preferencia por métodos menos detectables y más versátiles, aunque el malware sigue siendo una herramienta para algunos.

Los métodos de la araña dispersa suelen implicar la creación de oleadas de ataques dirigidos a varias organizaciones de un mismo sector. De hecho, el NCSC publicó un blog en el que señalaba que el sector minorista debería estar en guardia contra los ataques de ransomware y tomar medidas para mitigar su potencial. 

El patrón de Scattered Spider pretende maximizar la interrupción y la atención pública, aprovechando el riesgo humano como punto central del compromiso. Su colaboración con grupos como DragonForce les permite escalar rápidamente sus esfuerzos, combinando el phishing agresivo y el robo de credenciales con el despliegue de ransomware. Vea ejemplos de las técnicas utilizadas para obtener acceso del equipo de inteligencia sobre amenazas de Mimecast. 

Una investigación reciente de Mimecast revela que el 95% de las violaciones de datos están causadas por errores humanos y que sólo el 8% de los empleados son responsables del 80% de los incidentes de seguridad. Las organizaciones deben dar prioridad a la identificación de los individuos de alto riesgo y a la implementación de una formación específica para mitigar estas vulnerabilidades. Además, con más del 90% de las amenazas enviadas por correo electrónico, es fundamental centrarse en bloquear estos puntos de entrada para evitar que los atacantes accedan a las credenciales y se muevan lateralmente dentro de los sistemas. Los responsables de seguridad pueden tomar estas medidas clave para reducir las vulnerabilidades y reforzar las defensas contra los ataques de ransomware. 

• Reforzar las protecciones previas al parto. Detenga el ransomware antes de que llegue a los usuarios implantando sólidos sistemas de detección de amenazas. Céntrese en filtrar los correos electrónicos de phishing, los archivos adjuntos maliciosos y los sitios web fraudulentos para minimizar los puntos de entrada de los atacantes. Garantizar el bloqueo de las amenazas basadas en el correo electrónico es un paso fundamental para prevenir el robo de credenciales y el movimiento lateral. 
• Supervisar y comprender el riesgo humano. Utilice datos y análisis para identificar a las personas de su organización que pueden ser más vulnerables a las ciberamenazas. Adoptar medidas proactivas para abordar sus riesgos mediante la concienciación contextual y planes de acción adaptados. 
• Equipar y capacitar a los empleados. Proporcione regularmente formación específica sobre ciberseguridad y recordatorios oportunos para ayudar a los empleados a reconocer y responder a las amenazas. Fomente comportamientos como verificar las solicitudes de restablecimiento de contraseña y señalar las actividades sospechosas como parte de los hábitos diarios. 
• Aplique medidas de seguridad adaptables. Desarrolle controles de seguridad flexibles que se ajusten en función de los niveles de riesgo. Esto permite que los individuos o escenarios de alto riesgo reciban protecciones adicionales sin sobrecargar las operaciones generales. 
• Dé prioridad a la detección posterior a la violación. Asegúrese de que se vigilan de cerca las actividades internas sospechosas. Detecte y responda con rapidez a comportamientos inusuales, como movimientos de datos no autorizados o comunicaciones dañinas, para evitar que las cuentas comprometidas causen más daños. 
• Garantice la resistencia de los datos. Mantenga copias de seguridad seguras y redundantes de la información y los archivos críticos. Diseñe sistemas que permitan una rápida restauración de los datos, evitando la necesidad de pagar rescates y garantizando la continuidad frente a los ataques. 

Reflexiones finales: Del riesgo a la resistencia 

El ransomware es una amenaza persistente, y los ataques recientes ponen de relieve cómo el comportamiento humano suele ser una vulnerabilidad clave. Reforzar las defensas requiere centrarse en medidas preventivas, dotar a los empleados de los conocimientos y herramientas necesarios para reducir los errores y vigilar de cerca la actividad inusual. Mimecast refuerza estos esfuerzos bloqueando más del 90% de las amenazas basadas en el correo electrónico en su origen, impidiendo que los atacantes se afiancen. Al abordar el riesgo humano y adoptar un enfoque integral de ciberseguridad, las organizaciones pueden reducir significativamente sus posibilidades de ser víctimas de futuros ataques.