Hackeando el retail: Lo que el ciberataque de DragonForce le enseñó al Reino Unido y al mundo

Tres gigantes del retail británico (Marks & Spencer, Harrods y Co-op) han sido víctimas recientes de ciberataques devastadores. Una crisis sin precedentes que ha dejado tiendas vacías, plataformas online caídas, millones de datos filtrados y pérdidas operativas, miles de millones borrados de valor bursátil. También una demanda colectiva multimillonaria en Escocia y una pregunta que también nos interpela desde Colombia y América Latina: ¿está nuestro comercio preparado para enfrentar una ofensiva digital a gran escala?

El incidente no solo ha desnudado las vulnerabilidades del sector retail, sino que se ha convertido en un caso paradigmático sobre fallos en comunicación, gobernanza y preparación frente a cibercrisis.

Del chantaje técnico al colapso reputacional

En menos de un mes, M&S ha perdido más de £1.200 millones en valor bursátil. El proveedor externo comprometido paralizó pagos y pedidos. DragonForce (grupo cibercriminal con origen en Malasia) no solo robó datos: contactó directamente a medios como la BBC, presionó públicamente y humilló digitalmente a empresas tradicionales con décadas de historia.

Ya no se trata de un ataque silencioso. Es un nuevo modelo de extorsión pública, emocional y estratégica. En el caso de Co-op, los criminales se infiltraron en chats internos, se presentaron como “la voz” del grupo, y hasta firmaron con seudónimos inspirados en The Blacklist, declarando que “los retailers británicos están en la lista negra”.

Cuando el gobierno también tiene que responder

La gravedad fue tal que el Parlamento británico intervino: solicitó a M&S explicaciones formales y exigió pruebas de cumplimiento con las directrices del Centro Nacional de Ciberseguridad (NCSC). Incluso el ministro de Ciberseguridad, Pat McFadden, reconoció que esta situación debía ser un “wake-up call” (llamado a despertar) para todo el país.

¿Qué pasaría en Colombia si esto afectara a las grandes cadenas de retail? ¿Si se interrumpen los pagos, se filtran datos o colapsa la logística justo antes del Día del padre? Esto podría traducirse en cierres temporales de tiendas, pérdida de empleos eventuales y costo emocional: la pérdida de confianza del cliente, esa que toma años construir y minutos perder.

Debate público inusual

El caso reciente de M&S ha desatado un debate público inusual: no solo sobre la sofisticación del ataque, sino también sobre la gestión comunicacional de la empresa, la rendición de cuentas y el impacto en la confianza de sus accionistas y clientes.

Desde un lado del espectro, voces del ecosistema de ciberseguridad, incluyendo CISOs (Chief Information Security Officers o responsables de la seguridad informática), consultores y líderes técnicos han defendido la respuesta de M&S, señalando que fue víctima de un ataque altamente orquestado por un actor avanzado. Muchos destacaron el esfuerzo del equipo de ciberseguridad interno, que compartió indicadores de compromiso con otros minoristas para evitar una propagación mayor. Se habló incluso de “generosidad corporativa” y se llamó a frenar el "ambulance chasing“, es decir, la crítica oportunista o el marketing disfrazado de análisis técnico en medio de una crisis.

Sin embargo, una voz diferente y no menor emergió desde el propio cuerpo de accionistas. En un comentario ampliamente compartido en LinkedIn, un ingeniero y accionista de M&S cuestionó duramente la narrativa de ataque inevitable. Según su análisis, M&S es una empresa con políticas de privacidad estrictas y, en teoría, defensas cibernéticas robustas. Pero la ejecución falló: los controles no fueron seguidos, la comunicación fue escasa, y los directivos no dieron la cara. “Eso es un fallo de negocio”, dijo tajantemente.

Este contrapunto invita a una reflexión más profunda: ¿qué esperamos realmente de una gran empresa cuando ocurre una crisis cibernética? ¿Solo contención técnica y trabajo silencioso, o también liderazgo visible, comunicación clara y responsabilidad activa hacia sus stakeholders?

El ciberataque a M&S no es solo un incidente técnico. Es un caso de estudio sobre cómo se cruza la ciberseguridad con la reputación, el gobierno corporativo y la gestión de crisis en tiempo real. La transparencia o su falta se convierten en vectores de riesgo tan relevantes como la vulnerabilidad explotada.

Desde América Latina, donde muchas empresas aún se debaten entre invertir o no en ciberseguridad, este caso debería leerse con atención. No basta con tener políticas escritas o comprar tecnología avanzada. Lo que diferencia una empresa resiliente de una que queda expuesta es su capacidad de ejecutar, comunicar y asumir responsabilidad cuando lo inesperado ocurre.

Esto también puede pasarnos aquí

He escuchado con frecuencia frases como “somos muy pequeños para ser atacados” o “eso solo le pasa a empresas grandes”. Falso. Hoy los ciberdelincuentes operan con inteligencia artificial, automatización y un modelo de negocio estructurado. Atacan por volumen, por oportunidad, por debilidad. No les importa si la tienda es británica, bogotana o pastusa.

¿Y el gobierno colombiano?

Así como el Reino Unido actuó, Colombia debe asumir que la continuidad del comercio digital es una cuestión de seguridad nacional. La ciberseguridad es una urgencia para el país. No podemos esperar a que un ataque golpee a nuestros supermercados o empresas para reaccionar. Los ciberataques no tienen fronteras, La ciberseguridad no es un lujo de Londres. Es una urgencia de Bogotá, Medellín, Pasto, Barranquilla y más allá.

La diferencia entre sobrevivir a un ciberataque o que tu negocio colapse no está en evitar ser blanco, porque tarde o temprano todos lo somos, sino en cómo te preparas, cómo respondes y cómo comunicas.

Por Andrea García Beltrán, directora de Riesgo Cibernético en Europa, Nirvana Insurance| host cibervoces podcast | Founder y ChairWomen CyberSpecsTM.