Co-op, uno de los principales minoristas del Reino Unido, ha confirmado que los cibercriminales lograron robar datos personales de un número significativo de miembros actuales y anteriores, tras el ataque informático ocurrido el pasado 22 de abril.
La investigación forense ha revelado que los atacantes extrajeron nombres y datos de contacto desde uno de los sistemas comprometidos.
Aunque no se han visto comprometidas contraseñas ni información bancaria, la magnitud de la filtración es preocupante.
DragonForce Ransomware: Los Responsables Detrás del Ataque
El grupo DragonForce, un colectivo de ransomware-as-a-service (RaaS), se ha atribuido la autoría del ataque.
Según la BBC, los operadores compartieron muestras de datos robados y afirmaron tener información de hasta 20 millones de personas registradas en el programa de recompensas de Co-op.
Además, los atacantes intentaron contactar a los altos ejecutivos de Co-op directamente a través de Microsoft Teams, compartiendo mensajes de extorsión y capturas de pantalla.
Métodos Usados: Ingeniería Social y Acceso a Active Directory
Fuentes cercanas a la investigación revelaron que los atacantes usaron tácticas similares a las del reciente ataque contra Marks & Spencer: una ingeniería social sofisticada que les permitió resetear la contraseña de un empleado y acceder a la red interna.
Durante el ataque, se robó el archivo NTDS.dit, que contiene los hashes de contraseñas de todas las cuentas de Windows en el dominio, una herramienta crítica para escalar privilegios y extender el ataque.
Respuesta de Co-op: Reforzando Infraestructura y Seguridad
Co-op está trabajando con Microsoft DART (Detection and Response Team) para reconstruir su infraestructura de Active Directory, y con KPMG para reforzar su presencia en la nube de AWS.
El minorista también ha emitido advertencias internas para extremar la seguridad en el uso de Microsoft Teams y otras plataformas colaborativas.
“Eviten compartir datos sensibles en Teams. Asegúrense de que todos los participantes en reuniones estén verificados y con cámara encendida”, indicaba un comunicado interno a empleados.
Scattered Spider / Octo Tempest: El Ecosistema Criminal Más Activo
El ataque forma parte de una ola de ciberataques en Reino Unido, también vinculados a los conocidos tácticos de Scattered Spider, un grupo descentralizado de hackers expertos en SIM swapping, MFA fatigue y técnicas de ingeniería social avanzada.
A pesar de que varios miembros originales han sido arrestados en EE.UU., Reino Unido y España, nuevos actores están replicando sus tácticas, con ataques recientes a M&S, Harrods y ahora Co-op.
¿Qué Datos Fueron Robados?
- ✔️ Nombres
- ✔️ Datos de contacto
- ❌ Contraseñas
- ❌ Información bancaria o transaccional
- ❌ Datos de productos o servicios contratados
Implicaciones Legales y de Privacidad
Co-op podría enfrentarse a investigaciones regulatorias bajo el RGPD si se demuestra negligencia en las protecciones de datos.
Aunque no se ha confirmado el monto del rescate exigido, DragonForce suele amenazar con publicar los datos robados si no se paga.
Conclusión
Este incidente demuestra que los minoristas están cada vez más en la mira de cibercriminales y que las medidas tradicionales de seguridad no son suficientes frente a amenazas altamente organizadas y persistentes.
Las empresas deben adoptar estrategias de zero-trust, reforzar la autenticación multifactor y preparar planes de respuesta ante incidentes para proteger la confianza de millones de consumidores.