Gigantes del Reino Unido afectados por ciberataques: cómo la interrupción de Co-op, MandS y JLR exponen vulnerabilidades

En 2025, una serie de ciberataques de alto impacto afectaron a destacadas empresas del Reino Unido, entre ellas Co-operative Group (Co-op), Marks and Spencer (MandS) y Jaguar Land Rover (JLR), interrumpiendo las operaciones, exponiendo los datos de los clientes y provocando grandes pérdidas financieras.

Estas brechas revelan estrategias de ataque emergentes, brechas en las defensas corporativas y cómo el riesgo cibernético ahora puede extenderse a través de las cadenas de suministro y las economías nacionales.

Los incidentes no solo afectaron los balances. Los clientes de la cooperativa encontraron estantes vacíos, los compradores de MandS quedaron excluidos de los servicios en línea durante meses y las líneas de fábrica de JLR se detuvieron, amenazando miles de puestos de trabajo de proveedores.

Más tarde, los investigadores vincularon estos casos con grupos de piratas informáticos que utilizan ingeniería social y ransomware, exponiendo debilidades sistémicas en los sistemas de soporte de TI y las prácticas de subcontratación.

Con pérdidas de cientos de millones de libras, estos ciberataques se han convertido en un claro recordatorio de que las vulnerabilidades digitales pueden extenderse rápidamente a la economía real, agravando las presiones en tiempos globales inciertos.

Lo que salió mal: los incidentes y sus impactos

• Cooperativa (abril de 2025)

En abril, Co-op reveló que un ciberataque "malicioso" lo obligó a cerrar partes de su red de TI para contener la violación.

Esa medida paralizó los sistemas de pedidos y existencias, causando interrupciones generalizadas en sus más de 2.000 tiendas de alimentos y 800 funerarias del Reino Unido.

La compañía estima una pérdida de ingresos de 206 millones de libras esterlinas en la primera mitad del año y un impacto de 80 millones de libras esterlinas en las ganancias operativas. Pasó de una ganancia modesta a una pérdida antes de impuestos de 50 millones de libras esterlinas durante el mismo período.

Además, Co-op confirmó más tarde que se robaron los datos personales de los 6,5 millones de miembros (nombres, direcciones, datos de contacto). No se accedió a los datos financieros, dijeron.

• Marks and Spencer (abril-agosto de 2025)

Alrededor de la Pascua de 2025, MandS se vio obligada a desactivar sus servicios de pedidos en línea, aplicación móvil y click-and-collect después de un importante ataque de ransomware.

La interrupción duró varias semanas: algunos servicios en línea se restablecieron en junio, pero el clic y la recogida solo regresaron a mediados de agosto.

MandS advirtió que el ataque podría reducir sus ganancias operativas en unos 300 millones de libras esterlinas para el año. Reconoció que se había accedido a los datos de los usuarios (nombres, direcciones, correos electrónicos), pero dijo que los detalles de pago no se vieron comprometidos.

La policía del Reino Unido arrestó a cuatro personas (adolescentes y veinteañeras) en relación con los ataques a MandS, Co-op y Harrods. Son sospechosos bajo las leyes que cubren el uso indebido de computadoras, el chantaje y el lavado de dinero.

• Jaguar Land Rover (finales de agosto / septiembre de 2025)

JLR anunció que un incidente cibernético había interrumpido sus operaciones globales, cerrando rápidamente la producción en sus fábricas del Reino Unido y deshabilitando los sistemas de gestión de piezas, registro de vehículos, ventas y logística.

Se espera que la interrupción de la producción dure al menos hasta el 1 de octubre, y se informa que JLR está perdiendo 50 millones de libras esterlinas por semana en ingresos suspendidos.

Debido a que muchos proveedores dependen de las entregas justo a tiempo, docenas de empresas proveedoras están lidiando con pedidos cancelados, trabajo pausado, despidos y estrés de flujo de efectivo. Algunas estimaciones sugieren que miles de puestos de trabajo en la cadena de suministro automotriz pueden estar en riesgo.

Causas: tácticas, grupos y debilidades del sistema

Las investigaciones y el análisis de la industria sugieren un modus operandi compartido detrás de estos ataques. Un colectivo de hackers, a menudo conocido como Scatter Spider, está implicado en las violaciones de Co-op y MandS.

Se sabe que el grupo se especializa en ingeniería social, a menudo haciéndose pasar por personal de TI o utilizando exploits de la mesa de ayuda para obtener acceso interno.

En el caso de MandS, los atacantes supuestamente utilizaron el intercambio de SIM y la suplantación de asistencia técnica, apuntando a proveedores de servicios externos para violar sistemas críticos.

Tras el ataque de JLR, un canal de Telegram que se autodenomina Scatter Lapsus$ Hunters se atribuyó la responsabilidad.

El nombre sugiere una colaboración o superposición entre los grupos Scatter Spider, Lapsus$ y ShinyHunters. Las capturas de pantalla publicadas en ese canal pretendían mostrar sistemas internos de JLR.

Un analista le dijo a Computing que la subcontratación de la ciberseguridad a servicios como Tata Consultancy Services (TCS), que fue contratada por Co-op, MandS y JLR, podría haber creado un punto de riesgo de agregación.

Cómo respondieron las empresas

Co-op reaccionó rápidamente cerrando segmentos de su red de TI, restaurando los sistemas gradualmente y trabajando con los proveedores para reiniciar las entregas. Su directora ejecutiva se disculpó públicamente y dijo que estaba "increíblemente arrepentida" por el incidente y su impacto en los miembros.

Co-op dijo que carece de cobertura completa del seguro cibernético para pérdidas de backend, lo que significa que absorberá gran parte del costo por sí mismo.

MandS desconectó sus sistemas temprano para contener daños y luego reintrodujo los servicios por etapas: primero entrega a domicilio, luego clic y recogida. Se involucró con las fuerzas del orden, cooperó con los reguladores e invocó su póliza de seguro cibernético para recuperar partes de la pérdida.

JLR cerró fábricas y sistemas de TI de inmediato, trajo expertos en ciberseguridad y trabajó con el gobierno del Reino Unido y el Centro Nacional de Seguridad Cibernética (NCSC) para permitir un "reinicio controlado y por fases".

JLR también comenzó a restaurar los pagos a proveedores, los sistemas de logística de piezas y la capacidad de registrar automóviles para preservar el flujo de efectivo.

Los ministros están en conversaciones sobre esquemas de apoyo para ayudar a los proveedores afectados, incluidos impuestos diferidos o préstamos, aunque enfatizan que JLR debe absorber las pérdidas primarias.

Opiniones de expertos y significado sistémico

Los expertos en ciberseguridad advierten que los ataques recientes no son aislados, sino sintomáticos de un cambio en la ambición de los atacantes. Rafe Pilling, Director de Inteligencia de Amenazas de Sophos, dijo:

Martyn Thomas, profesor emérito de TI, ofreció una advertencia aleccionadora:

En el contexto de JLR, los analistas de The Guardian concluyeron que el hackeo reveló cómo "todo está conectado" en las fábricas inteligentes modernas, y que la complejidad en sí misma puede convertirse en una vulnerabilidad.

El hecho de que JLR subcontratara sistemas de TI críticos y que los servicios de TCS se integraran en múltiples empresas ahora bajo ataque, plantea preguntas sobre si se están pasando por alto los puntos centrales de dependencia.

El significado más amplio de estos eventos es claro: los ataques cibernéticos ya no se limitan a robar datos o interrumpir los servicios digitales: pueden detener la producción física, amenazar el empleo, tensar las cadenas de suministro y extenderse a las economías regionales.

En un momento de incertidumbre global, con inflación, presión en la cadena de suministro y tensiones geopolíticas, tales brechas amplifican la fragilidad de los sistemas interconectados.

Para las empresas del Reino Unido, estos ataques subrayan lecciones urgentes: invertir en detección y respuesta a amenazas, reducir la dependencia excesiva de proveedores de servicios únicos, generar redundancia y garantizar que el seguro cibernético no sea solo una fachada.

A medida que más sectores se digitalizan y conectan, la "superficie de ataque" solo crece. Si las empresas de alto perfil están ahora en riesgo, las empresas más pequeñas en las cadenas de suministro pueden volverse aún más vulnerables.

En resumen, los incidentes de Co-op, MandS y JLR marcan un punto de inflexión: el cibercrimen ha madurado más allá de la piratería molesta hacia la interrupción sistémica. Es posible que la próxima gran brecha no se anuncie con suavidad, pero aquellos que se preparan aún pueden mitigar sus peores consecuencias.