Cuando la caja se detiene: el ataque que paralizó a M&S
En abril de 2025, la Marks & Spencer (M&S), una de las mayores cadenas minoristas del mundo con operaciones en decenas de países, fue objeto de un ataque de ransomware a gran escala atribuido al grupo DragonForce. Según información divulgada públicamente, el incidente derribó sistemas de pago con tarjeta, gestión de inventarios, operaciones de caja en cientos de tiendas físicas y suspendió las compras en línea durante más de tres semanas consecutivas. Las pérdidas operativas estimadas superaron £300 millones, alrededor de R$ 2,2 mil millones, y datos personales de millones de clientes, incluidos nombres, direcciones e historial de compras, fueron expuestos.
El caso ganó amplia repercusión internacional no solo por la magnitud de las pérdidas, sino por el tiempo de paralización. Semanas sin ventas en línea, filas y confusión en las tiendas físicas, proveedores sin comunicación y clientes sin acceso a sus cuentas. Una empresa con recursos billonarios y equipos dedicados de TI estuvo de rodillas durante semanas.
Y aquí surge la pregunta que todo gerente de empresa debería hacerse:si una red de este tamaño tardó semanas en recuperarse, ¿cuánto tiempo tardaría mi empresa?
¿Qué significa este ataque para las empresas más pequeñas?
Es natural pensar que ataques de esta magnitud son exclusivos de grandes corporaciones. En la práctica, sucede lo contrario. Las PYMES son objetivos preferenciales de ransomware exactamente porque suelen tener menos capas de protección, equipos de TI reducidos o inexistentes, y copias de seguridad que nunca han sido realmente probadas. De acuerdo con datos recopilados sobre tendencias de ciberataques utilizando inteligencia artificial, los ataques son cada vez más automatizados y dirigidos, lo que reduce el costo operativo para los criminales y aumenta el volumen de objetivos alcanzados simultáneamente.
En el caso de un ataque cibernético al comercio minorista, los impactos son inmediatos y brutales: cajas que no procesan pagos, inventario que no se actualiza, pedidos en línea que desaparecen, clientes que no pueden ser atendidos. Para una empresa con 10 a 200 empleados, dos o tres días en esta condición ya pueden comprometer el flujo de caja de todo el mes. Una semana puede ser irreversible.
El sector de retail, alimentación y comercio en general es especialmente vulnerable porque opera con sistemas interconectados, un alto volumen de transacciones y datos sensibles de clientes, tres elementos que hacen que la superficie de ataque sea amplia y atractiva para grupos como DragonForce. La ciberseguridad para supermercados y minoristas todavía se trata como un costo secundario en muchas pymes, cuando debería ser vista como infraestructura crítica, tan importante como el sistema de refrigeración o el sistema de punto de venta.
Otro punto poco discutido: cuando se exponen datos de clientes, las consecuencias van más allá de lo operativo. Hay obligaciones legales de notificación (la LGPD en Brasil y normas equivalentes en EE. UU. exigen acción rápida), potencial de multas regulatorias y, principalmente, daños a la confianza del consumidor que pueden tardar meses o años en reconstruirse.
¿Qué hacer para no convertirse en un titular?
La buena noticia, y existe, es que la mayoría de los ataques de ransomware exitosos explotan fallas conocidas y evitables. El ransomware rara vez entra y detona de inmediato. Existe un período de movimiento interno en los sistemas, llamado movimiento lateral, en el que el atacante mapea la red, eleva privilegios y posiciona el malware antes de activarlo. Este intervalo puede durar días o incluso semanas, y es exactamente en esta ventana que una estructura de monitoreo activo puede identificar y detener el ataque antes del daño real.
Las capacidades que marcan la diferencia en la práctica incluyen:
- Monitoreo continuo 24/7: alertas en tiempo real para comportamientos anómalos en la red, como accesos fuera de horario, transferencias de grandes volúmenes de datos o intentos de escalamiento de privilegios.
- EDR (Detección y Respuesta en el Endpoint): protección avanzada en los dispositivos que va más allá del antivirus tradicional, capaz de identificar amenazas comportamentales incluso sin una firma conocida.
- Gestión de parches actualizada: gran parte de los ataques entra por vulnerabilidades ya corregidas por los fabricantes de software, pero que nunca se han aplicado en la empresa. Mantener los sistemas actualizados cierra esa puerta.
- Copia de seguridad con recuperación probada: no basta con tener una copia de seguridad. Es necesario saber, con certeza, que funciona. Pruebas regulares de restauración garantizan que, en caso de ataque, el tiempo de recuperación se mida en horas, no en semanas.
- Segmentación de red: separar sistemas críticos (como PDV, inventario y financiero) en segmentos aislados limita el radio de explosión de un eventual ataque, impidiendo que se propague por toda la infraestructura.
Un plan de continuidad de negocio (BCP) bien estructurado complementa estas capas técnicas, garantizando que el equipo sepa exactamente qué hacer en las primeras horas de un incidente, con quién contactar y qué sistemas priorizar en la restauración.
Pregunta estratégica para el tomador de decisiones
Si mañana por la mañana los sistemas de su empresa amanecieran cifrados, ¿en cuánto tiempo podría retomar las operaciones y cuánto costaría?
Esta respuesta debería estar documentada, probada y conocida por toda la dirección de la empresa, antes de que la pregunta se vuelva real. Un proveedor de TI gestionada con capacidad de monitoreo 24/7, EDR activo, gestión de parches y respaldo con recuperación probada regularmente transforma esta respuesta de incierta a concreta. En lugar de semanas de paralización y pérdidas millonarias, el escenario pasa a ser de contención en horas y restauración controlada, con comunicación clara para clientes, proveedores y equipo.
La protección contra ransomware ya no es una cuestión del tamaño de la empresa. Es una cuestión de preparación. Y la preparación adecuada, con las capas correctas, está al alcance de las pymes de todos los tamaños. El caso de M&S es un recordatorio contundente, pero también es una oportunidad para revisar, fortalecer y actuar antes de que lo imprevisto llegue.
Referencias
- World Economic Forum, 2026 Amenazas Cibernéticas a Vigilar y Otras Noticias de Ciberseguridad
- All About AI, Estadísticas y Tendencias de Ciberataques de IA
¿Quiere saber si su empresa estaría preparada para un escenario como el de M&S? Hable con el equipo de Zamak en zamakt.com/contáctanos y agende una Consultoría Inicial de Cortesía, sin compromiso.