Ciberataques contra el sector del retail: Pérdidas económicas, daños reputacionales y sanciones
Tabla de contenidos
En los últimos meses se han producido ciberataques contra el sector del retail que han dañado las finanzas y la reputación de grandes compañías
Ya hemos normalizado los ciberataques en el Black Friday o la Navidad que tienen en su punto de mira los e-commerce, pero los ciberataques contra el sector del retail se producen de manera continua a lo largo de todo el año y van en aumento. ¿Por qué?
Causas detrás de los ciberataques contra el sector del retail
El peso socioeconómico del sector
Las empresas del retail juegan un papel crítico en la generación de empleo y riqueza en todas las economías occidentales. Sin ir más lejos, un estudio determinó que dos de las cinco empresas que más aportan al PIB de España son compañías del retail.
Nivel de ciberexposición
Es un sector que se ha digitalizado a una gran velocidad y que, por ello, presenta un elevado nivel de ciberexposición, sobre todo, por la relevancia del comercio online. A lo que debemos sumar su amplia infraestructura tecnológica que cubre los procesos de logística, gestión de pedidos, suministro a las tiendas físicas o cobros.
Datos de clientes
Los ciberataques contra el sector del retail buscan explotar uno de los principales activos de estas empresas: los datos de sus clientes. Ya sea para extorsionar a las propias compañías o para comercializarlos y facilitar la realización de fraudes online contra ciudadanos y empresas.
Tamaño de las empresas y postura de ciberseguridad
El sector del retail no está conformado, solo, por grandes multinacionales que pueden destinar importantes presupuestos a reforzar su postura de seguridad. Miles de pymes tienen e-commerce o necesitan sus sistemas informáticos para llevar a cabo sus actividades diarias, sin embargo, aún no han situado a la ciberseguridad en el centro de sus estrategias.
Normativa menos exigente que en otros sectores
A diferencia de lo que ocurre en otros sectores como el de la banca o el de la alimentación, el retail no es considerado un sector crítico y sus obligaciones legales en materia de ciberseguridad son menos exigentes. Aun así, es importante tener en cuenta que muchas empresas combinan la comercialización de productos alimentarios con otra clase de bienes (ropa, tecnología, etc.), por lo que pueden estar sometidas a normas como la futura Ley de Ciberseguridad.
A continuación, vamos a dibujar una panorámica de los ciberataques contra el sector del retail, destacando la importancia de reforzar las estrategias de ciberseguridad de las empresas para evitar pérdidas millonarias, daños reputacionales incuantificables y elevadas sanciones de los organismos que velan por la protección de datos personales.
10 días de infarto en Londres: Tres ciberataques contra el sector del retail que pusieron en aprietos a grandes multinacionales
El 22 de abril, Marks & Spencer (M&S), la mayor compañía inglesa del sector textil que también vende productos de alimentación y para el hogar, informó de que había sufrido un incidente de seguridad que afectaba al pago contactless y a la recogida en las tiendas de pedidos hechos de manera online. El incidente fue a más, afectando a los sistemas de control de stock de las tiendas y paralizando los pedidos a través de la web o de la aplicación móvil.
El 30 de abril, se hizo público otro de los ciberataques contra el sector del retail que ha conmocionado al tejido productivo británico: el sufrido por la multinacional Co-op. El incidente, que se cree que ocurrió también el 22 de abril, se saldó con el acceso indebido a información corporativa y datos personales de 20 millones de clientes.
Un día después, el 1 de mayo, Harrods, una cadena de grandes almacenas de lujo, informó de que había sufrido intentos no autorizados de acceder a sus sistemas. Para contener el ciberataque, Harrods decidió restringir el acceso a internet en sus tiendas físicas, pero aseguró que se podía seguir comprando con normalidad tanto de forma online como presencial.
Así, en pocos días tres de las grandes compañías del sector del retail del Reino Unido tuvieron que lidiar con graves incidentes de seguridad. Si bien, el ataque sufrido por M&S fue el peor. Ya que menoscabó su continuidad de negocio al afectar al stock de los productos y, sobre todo, a la posibilidad de realizar compras por parte de los consumidores.
¿Cómo se llevan a cabo los ciberataques contra el sector del retail?
Detrás de estos incidentes de seguridad están grandes grupos de Ransomware-as-a-Service como DragonForce o Scattered Spider.
Los grupos delictivos comercializan paquetes para lanzar campañas de ingeniería social contra trabajadores de las compañías a las que se desea atacar. De tal manera que los actores maliciosos puedan acceder de manera ilegítima a los sistemas corporativos.
Es importante tener en cuenta que los grupos con elevados recursos y conocimientos tienen la capacidad de perfeccionar técnicas como la fatiga MFA (autenticación multifactor) o el SIM Swapping.
Además, también les ofrecen a los atacantes el ransomware que necesitan para cifrar archivos alojados en el mayor número de servidores posibles.
De hecho, los servicios de Ransomware-as-a-Service ofrecen a sus afiliados páginas para negociar con las empresas el pago de un rescate a cambio de facilitarles un descifrador y no hacer públicos los datos a los que se ha tenido acceso.
A cambio, estos grupos delictivos se llevan entre un 20 y un 30% del dinero obtenido por los actores maliciosos afiliados.
La importancia de prestar atención a la seguridad de los proveedores
Así como muchas compañías han invertido en levantar estructuras de ciberseguridad sólidas, no se ha prestado la suficiente atención a la postura de seguridad de los proveedores a la hora de contratarlos o darles acceso a datos corporativos o de los clientes.
Los ciberdelincuentes son conscientes de esta realidad y, ante la enorme complejidad de atacar directamente los sistemas de grandes empresas, buscan cumplir sus objetivos a través de un tercero.
Las graves consecuencias de los ciberataques contra el sector del retail
¿A qué se exponen las compañías que sufren ciberataques contra el sector del retail?
- Filtración de información corporativa que pueda acabar en manos de la competencia, dañando su competitividad.
- Exfiltración de datos de clientes y notables daños en la relación con ellos y en su prestigio en el mercado. Si, además, esta información es empleada para lanzar campañas de fraudes online contra consumidores, los daños pueden ser mayores.
- Sanciones por infringir la normativa de protección de datos. Las brechas que se saldan con la publicación de datos personales de clientes o trabajadores traen consigo, a menudo, cuantiosas multas económicas impuestas por las autoridades de protección de datos. El RGPD, la principal norma europea sobre esta materia, exige a las empresas contar con las medidas técnicas y organizativas necesarias para garantizar un adecuado nivel de protección de los datos personales. Al investigar algunos incidentes de seguridad se descubre que dichas medidas no eran lo suficientemente robustas. El importe de las multas puede llegar a ser de 20 millones de euros o el 4% del volumen de negocio anual de la compañía.
- Pérdidas millonarias por problemas en la operatividad básica y la caída de las ventas. El incidente de M&S es paradigmático a este respecto. Puesto que se estima que la compañía pierde diariamente millones de libras, que el incidente no se terminará de solventar hasta julio y que los beneficios perdidos rondarán los 300 millones de libras. ¿Por qué los daños económicos son tan elevados? Múltiples sistemas siguen caídos, la venta online continúa parada y las tiendas físicas han sufrido problemas de desabastecimiento, lo que está conllevando una notable reducción de las ventas y, por ende, de los ingresos.
Cómo combatir los ciberataques contra el sector del retail
Aunque no lo hemos mencionado explícitamente como una consecuencia resulta sencillo concluir que los ciberataques contra el sector del retail pueden desencadenar graves crisis en las empresas que los sufren.
Durante las últimas semanas, en M&S ha cundido el pánico y fuentes internas hablan de caos, paranoia y trabajadores durmiendo en las oficinas para intentar recuperar la normalidad. Es más, se ha denunciado a través de los medios que no existía ni un plan para hacer frente a ciberataques contra el sector del retail, ni una estrategia para garantizar la continuidad de negocio.
¿Cómo puede ser? Muchas empresas, incluidas grandes compañías, no han evaluado de manera eficiente los riesgos y amenazas a los que se enfrentan y no cuentan con una estrategia de ciberseguridad adaptada a ellos.
Así, para prevenir los ciberataques contra el sector del retail, limitar el impacto de los incidentes de seguridad y salvaguardar la continuidad de negocio es fundamental contar con servicios de ciberseguridad avanzados como:
Auditorías de seguridad continuas
Las auditorías de seguridad permiten detectar vulnerabilidades en la infraestructura tecnológica que puedan ser explotadas por los actores maliciosos.
Gestión de vulnerabilidades
La gestión de vulnerabilidades es crítica para mitigar las debilidades encontradas en función de su nivel de criticidad, la posibilidad de que sean explotadas con éxito y su impacto en el negocio.
Test de ingeniería social
Como apuntamos antes, la primera fase de los ciberataques contra el sector del retail consiste en campañas de ingeniería social para engañar a los profesionales de las empresas y conseguir un vector de entrada a los sistemas y redes corporativos. Por eso, es de enorme interés someter a las plantillas a tests de ingeniería social para evaluar su capacidad de hacer frente a estas amenazas y formarlos para evitar que sean víctimas de engaños cada vez más elaborados.
Simulaciones de ransomware a cargo de un Red Team
Mediante un servicio de Red Team es posible evaluar la resiliencia de una empresa ante ataques de ransomware, detectar posibilidades de mejora y formar a los profesionales a cargo de la defensa de la organización.
Servicios de respuesta a incidentes proactiva
En caso de que se produzca un incidente de seguridad, es fundamental poder detectarlo y articular una estrategia de respuesta en el menor tiempo posible. Así, los servicios de respuesta a incidentes son esenciales a la hora contener la actividad maliciosa, expulsar cuanto antes a los actores hostiles y recuperar la normalidad con la máxima celeridad para evitar que las consecuencias del incidente afecten a la continuidad de negocio.
En definitiva, 2025 nos está recordando que los ciberataques contra el sector del retail son cada vez más numerosos, complejos y peligrosos. Por eso, es fundamental que las empresas centradas en el comercio minorista fortalezcan su postura de seguridad, aumentan su ciberresiliencia ante los ataques y sean capaces de evitar pérdidas millonarias, daños reputacionales y sanciones económicas.