Marks & Spencer pierde mil millones en bolsa en un mes por un ataque informático
Los grandes almacenes británicos comunican a los 9,4 millones de clientes online que sus datos han sido robados
LondresSolo los que tengan memoria y varios años recordarán la tienda de Marks & Spencer (M&S) de la plaza de Catalunya de Barcelona –abrió en 1999–, en el mismo edificio donde había estado el famoso Banco Central del asalto (mayo de 1981) y ahora hay un Primark. Y quizás también recuerden la que había en el interior de la Illa Diagonal. Fueron dos de los nueve establecimientos que la cadena británica llegó a tener en España desde su instalación, por primera vez en Madrid (1994). M&S abandonó todas sus operaciones en el mercado continental en el 2001, cuando cerró los 38 locales que tenía al otro lado del canal de la Manga.
El año pasado Marks & Spencer regresó físicamente a España, con la apertura de una nueva tienda en el centro comercial La Vaguada, en el norte de Madrid, en esta ocasión con un modelo de franquicia. La prensa británica ha especulado recientemente con la posibilidad de un regreso físico también a Barcelona. En cualquier caso, llegue o no, la inauguración del centro en Madrid –además de un par en Málaga y Marbella– era la culminación –y quizás el primer paso– de una nueva estrategia que se había puesto en marcha en el 2012, con la inauguración de la tienda virtual española.
Pero, desde hace un mes, ninguno de los más de 9,4 millones de clientes activos online que tiene la cadena pueden comprar nada a través de la web: ni en España, ni en Reino Unido ni en ninguna parte. La razón, un ciberataque –se conoció a finales de abril, pero ocurrió el pasado día 19– que ha provocado que la inmensa mayoría de las mil tiendas y pico que hay esparcidas por el Reino Unido tengan problemas de suministros y presenten estanterías vacías, especialmente los locales de alimentación (M&S Food) y secciones de alimentos de los grandes.
Los especialistas del sector calculan en 40 millones de libras semanales las pérdidas que ha provocado el ciberataque. En cuanto al valor en bolsa, la empresa ha perdido 1.000 millones de libras desde entonces (una caída del 17%), un impacto económico que ya ha superado sobradamente el límite de cobertura de cien millones de su seguro. ¿Cuándo recuperará la normalidad? Aún quedan semanas.
Cincuenta y dos horas de asalto
El diario The Times revelaba la semana pasada que, de acuerdo con el análisis forense digital que se está llevando a cabo, los piratas informáticos operaron sin ser detectados durante aproximadamente 52 horas antes de que se hiciera sonar la alarma. Entonces, equipos de emergencia defendieron los sistemas informáticos de la empresa durante una "fase de ataque" que se prolongó cinco días. Por último, después de mucha opacidad, la semana pasada Marks & Spencer admitió que todos los datos personales de dichos 9,4 millones de clientes fueron robados, aunque la información asociada a las tarjetas de crédito no ha sido comprometida. En cualquier caso, tanto la policía como los medios de comunicación ya han informado de estafas a través de lo habitual phishing. Pero no se ha detectado una presencia masiva en la web oscura de estos datos.
Esta semana debía ser de júbilo para la compañía, que este miércoles ha presentado resultados. Los analistas preveían un aumento del 17% en el beneficio antes de impuestos, hasta los 875 millones de libras para el período 31 de marzo de 2024-25. Pero el ciberataque ha dado la vuelta al optimismo en pesimismo. Y la compañía ha anunciado una previsión de pérdidas para el próximo año de 300 millones, algo más de los beneficios obtenidos. El comercio online no se recuperará hasta julio.
¿Cómo fue posible todo esto? De acuerdo con todos los analistas consultados, entre ellos el profesor Hosein Abroshan, de la escuela de informática y computación de la Universidad Anglia Ruskin, los piratas accedieron a los sistemas de M&S a través del fraude de duplicación de una tarjeta SIM. Aunque los detalles técnicos completos siguen bajo investigación, también el diario The Times informabaque tomaron el control del número de móvil de un empleado y con mensajes falsos le hicieron creer que debía restablecer credenciales de inicio de sesión críticas, que debía validar con su número de teléfono.
El fenómeno no es nuevo. Según CIFAS, el servicio nacional de prevención de fraudes informáticos de Reino Unido, los incidentes de duplicación de SIM han aumentado de menos de 300 en 2022 a casi 3.000 en 2023. Lo que había sido principalmente un riesgo para los inversores en criptomonedas o influenciadores online es ahora mucho más común.
Más allá de las tentativas de ataques informáticos que se multiplican por todo el ciberespacio, el hecho es que, en menos de un mes, otros grandes almacenes (Harrods), supermercados (Co-op) o distribuidores de alimentos en cadena de frío (Peter Green Chilled) que abastecen Aldi) también han sufrido ciberataques, aunque no tan graves como el de M&S. De acuerdo con las diferentes informaciones que ha publicado la prensa británica, detrás de estos ataques se encuentra un grupo llamado Scattered Spider, formado por hackers británicos y estadounidenses. Google ha informado también esta semana de que estos piratas han dirigido ahora sus amenazas a los minoristas de Estados Unidos. Nadie está a salvo.