Las escenas, también suelen ser conocidas. En esta ocasión, ocurrió a finales de abril, cuando la gran cadena Marks&Spencer (M&S) fue víctima de un ransomware que afectó significativamente las operaciones comerciales en las 1.400 tiendas del minorista, dejando los estantes de sus establecimientos vacíos de alimentos y obligándolo a dejar de aceptar pedidos en línea. La empresa afirmó que accedieron en sus sistemas engañando a los empleados de una compañía proveedora y que los atacantes consiguieron robar datos de miles clientes antes de cifrar varias máquinas. El impacto ha sido casi inmediato, con importantes pérdidas financieras, además de erosionar la confianza en los ecosistemas de terceros. Su capitalización bursátil se ha reducido en alrededor de 1.200 millones de euros desde el incidente, y M&S reveló que los costes ascenderán a 350 millones y la interrupción de los pedidos en línea se prolongará hasta julio.

El ataque está atribuido al conocido grupo Scattered Spider, también vinculado a otros incidentes contra cadenas minoristas británicas, como la de supermercados Co-op Group y la lujosa Harrods e, incluso, a objetivos similares en EE.UU. Y, como en toda buena historia, no falta el ingrediente sorpresa, ya que se sabe que algunos de estos ciberdelincuentes tienen unos 16 años.

Además, esta vez, los protagonistas estaban relativamente preparados. Se trata de una organización que contaba con inversión, procedimientos, equipos reforzados y con un CEO, Stuart Machin, que ha asumido el liderazgo desde el primer momento. Aunque algunas de sus declaraciones pueden ser debatibles, ya que dijo que “no lo llamaría crisis”, sino “incidente, contratiempo, bache en el camino, una perturbación…”. Eso sí, explicó que la compañía, inmersa en un plan de transformación de cinco años, estaba invirtiendo fuertemente en ciberseguridad antes del ataque. “El año pasado hicimos un simulacro. Gracias a ello, sabía a quién llamar”. “El equipo de ciberseguridad se ha cuadruplicado en tres años”, afirma, “y el gasto en tecnología es tres veces mayor que hace cinco años”. A pesar de ello, el caso de M&S no es una historia con un final feliz, ya que lo sucedido seguía bajo investigación al cierre de esta edición. Entre las lecciones aprendidas, Machin destacó que “todos somos vulnerables. Los ciberdelincuentes solo necesitan tener suerte una vez”.

Esto me recuerda a las conclusiones de un estudio que publicamos en SIC a finales del pasado año, bajo el título ‘La mente del CISO: detrás de la brecha’. En esta investigación de Trellix, realizada por Vanson Bourne, una participante de una compañía manufacturera de EE.UU. afirmaba que “experimentar un incidente cibernético reforzó el concepto de que debemos estar siempre atentos y no importa qué tan seguras creamos que tenemos las cosas, ni cuántas herramientas hayamos implementado, es una batalla constante”. Quizá por ello, y según el informe, estas situaciones estén dando pie a que los Consejos de Administración cambien de un enfoque reactivo a uno proactivo, y que sufrir un incidente grave de ciberseguridad ya no sea, en la mayoría de los casos, motivo de despido para los CISO.

Eso sí, la historia de M&S se trata de una novela realista que constata que las ciberamenazas evolucionan rápidamente, a menudo superando incluso las defensas mejor preparadas, y que la cadena de suministro no puede ser tratada como una pieza periférica de la estrategia de seguridad, sino como el centro mismo de la exposición al riesgo.