En abril de 2025, los minoristas británicos Marks & Spencer, Co-op y Harrods sufrieron una serie de ciberataques. El acceso a M&S no se produjo a través de una vulnerabilidad técnica sofisticada, sino mediante una llamada telefónica: los atacantes — atribuidos al grupo Scattered Spider — se hicieron pasar por un empleado y llamaron al servicio de asistencia de IT (externalizado a un tercero), que entonces realizó un restablecimiento de contraseña. Con eso, la puerta de entrada quedó abierta. Los daños estimados ascendieron a cientos de millones de libras. Es el caso de manual internacional de la ingeniería social al soporte.
Cómo se desarrolló el ataque
Scattered Spider es conocido por desplegar miembros angloparlantes que interpretan de forma convincente el papel de un compañero o de un técnico de IT. En M&S llamaron al servicio de asistencia, se hicieron pasar por un empleado que ya no podía iniciar sesión y obtuvieron un restablecimiento de contraseña. Sin malware, sin zero-day — solo una llamada y una historia creíble.
Con ese acceso inicial, los atacantes avanzaron hasta el corazón de la red. Obtuvieron la base de datos central de contraseñas de Active Directory (el archivo NTDS.dit), descifraron los hashes de contraseña sin conexión y consiguieron acceso a una amplia gama de cuentas. Finalmente desplegaron el ransomware DragonForce por el entorno de M&S.
Llamativo: el soporte al que llamaron estaba externalizado a un proveedor externo. El eslabón débil no estaba solo en un proceso, sino en la cadena de suministro — una combinación de ingeniería social y riesgo de proveedor.
Por qué el soporte es un objetivo tan atractivo
Un soporte de IT existe para ayudar a quienes se quedan bloqueados — a menudo bajo presión de tiempo y con cierta disposición a hacer excepciones. Esa misma disposición a ayudar convierte al soporte en un objetivo ideal. Quien suena convincente y aplica algo de presión ('tengo una presentación en cinco minutos y no puedo entrar') puede llevar a un agente a un restablecimiento.
El problema es estructural, no individual. Un agente de soporte que realiza cien restablecimientos legítimos al día no puede estar en guardia con cada persona que llama sin un procedimiento claro. La solución, por tanto, no es 'prestar más atención', sino un proceso de verificación estricto que no se pueda sortear con una buena historia.
Una verificación de identidad fuerte antes de un restablecimiento o un cambio de MFA es aquí lo esencial: una devolución de llamada a un número registrado, una confirmación por un segundo canal, o la aprobación del responsable. Ninguna verificación que la persona que llama pueda aportar por sí misma.
La MFA y las contraseñas por sí solas no bastan
Muchas organizaciones confían en la MFA y en contraseñas complejas. M&S demuestra que eso es insuficiente cuando el proceso de recuperación que lo rodea es débil. Un atacante no necesita descifrar tu contraseña si consigue que el soporte la restablezca — y vuelva a registrar la MFA en su propio dispositivo.
El proceso de restablecimiento y recuperación es, por tanto, tan crítico como la propia seguridad de inicio de sesión. Es un punto ciego en muchos programas de concienciación: se presta mucha atención a las contraseñas fuertes y a no hacer clic, pero apenas a la pregunta '¿cómo sabe el soporte con certeza que eres tú de verdad?'
La MFA resistente al phishing (como llaves de hardware o passkeys) ayuda, pero solo si los procesos de excepción — una llave perdida, un teléfono nuevo — están igual de estrictamente protegidos. Los atacantes siempre buscan la excepción.
Por qué esto también importa para tu organización
Scattered Spider no es una amenaza exótica que solo golpea a minoristas británicos. La misma técnica — llamar, fingir, pedir un restablecimiento — funciona en casi cualquier organización con un soporte. El enfoque es barato, escalable y no requiere ninguna vulnerabilidad técnica.
Bajo el RGPD, una brecha al estilo de M&S es un incidente notificable, y para muchos sectores NIS2 endurece aún más el deber de diligencia; en España, las entidades esenciales se rigen además por el Esquema Nacional de Seguridad (ENS). Pero más importante que la cuestión de cumplimiento es la operativa: ¿habría detenido tu soporte a una persona que llama de forma convincente?
Esa pregunta se puede probar. Una prueba de ingeniería social dirigida al soporte revela sin piedad si tu proceso de verificación aguanta en la práctica — no en el papel, sino cuando alguien llama de verdad.
Cómo integrarlo en tu programa de concienciación
El caso de M&S es ideal para desplazar la atención de 'no hagas clic' a 'a quién verificas, y cómo'. También hace tangible para la dirección por qué proceso y comportamiento deben encajar.
Céntrate en concreto en el soporte de IT y en todo aquel que pueda restablecer identidades o conceder accesos.
- Público + ritmo: da al soporte de IT un módulo propio y recurrente sobre verificación de identidad en restablecimientos y cambios de MFA.
- Fija una regla estricta: nunca un restablecimiento o cambio de MFA sin verificación a través de un canal independiente y registrado (devolución de llamada, responsable, segundo factor).
- Pruébalo de verdad: realiza una prueba de ingeniería social dirigida al soporte y comenta el resultado sin culpar a nadie.
- Mide si el procedimiento aguanta: ¿cuántas solicitudes de restablecimiento se verifican correctamente antes de ejecutarse?
- ¿Quieres profundizar? Mira cómo practicarlo mediante la simulación de phishing e ingeniería social.
Artículos relacionados
- La brecha de Odido: una llamada, 6 millones de personas
- El ataque a ChipSoft: el riesgo de proveedores en tu programa
- Ransomware y comportamiento de los empleados
Preguntas frecuentes
¿Cómo entró Scattered Spider en Marks & Spencer?
No a través de una vulnerabilidad técnica, sino mediante ingeniería social al soporte de IT. Los atacantes llamaron al servicio de asistencia (externalizado), se hicieron pasar por un empleado que no podía iniciar sesión y obtuvieron un restablecimiento de contraseña. Con ese acceso, después se apoderaron de la base de datos central de contraseñas de Active Directory y desplegaron ransomware.
¿Por qué el soporte de IT es un objetivo predilecto?
Un soporte existe para ayudar rápido, a menudo bajo presión de tiempo y con disposición a hacer excepciones. Esa disposición a ayudar es justo lo que explotan los atacantes. Es un problema estructural: sin un proceso de verificación estricto, una persona que llama de forma convincente puede forzar un restablecimiento por muy atento que esté el agente.
¿No protege la MFA frente a este tipo de ataques?
No por sí sola. Si el soporte restablece una contraseña y vuelve a registrar la MFA en el dispositivo del atacante, la MFA queda sorteada. El proceso de recuperación y restablecimiento es, por tanto, tan crítico como la seguridad de inicio de sesión. La MFA resistente al phishing solo ayuda si los procesos de excepción también están bien protegidos.
¿Podría pasarle a mi organización?
Sí. La técnica — llamar, fingir, pedir un restablecimiento — funciona en casi cualquier organización con soporte y no requiere ninguna vulnerabilidad técnica. Puedes probar tu resiliencia con una prueba de ingeniería social dirigida al soporte que muestra si tu proceso de verificación aguanta en la práctica.