Ciberataques a Marks & Spencer y Kobop: Ransomware, Fuga de Datos y Falta de Transparencia

Silencio tras el ciberataque: Marks & Spencer y Kobop ante la extorsión digital

Contexto del ataque a Marks & Spencer

A finales de abril de 2025, la cadena británica Marks & Spencer (M&S) sufrió un devastador ciberataque que paralizó sus operaciones en línea y afectó sistemas clave de la empresa. Clientes comenzaron a reportar fallos durante el fin de semana de Pascua, con interrupciones en servicios como “Click & Collect” y pagos sin contacto. Para el 25 de abril, M&S suspendió todos los pedidos online en su sitio web y app, sin indicar cuándo podrían reanudarse. La empresa también desconectó ciertos sistemas de inventario, lo que provocó escasez de algunos productos en tiendas físicas. En sucursales de alimentos se vieron estantes vacíos acompañados de carteles disculpándose por “problemas técnicos” que afectan la disponibilidad de mercancía.

Una estantería vacía en una tienda de M&S con un cartel que reza: “Por favor, ténganos paciencia mientras solucionamos problemas técnicos que afectan la disponibilidad de productos”. Tras el ciberataque, varias sucursales enfrentaron faltantes de stock y tuvieron que explicar la situación a los clientes.‍

El ataque golpeó en un momento crítico para M&S, obligando a la compañía a detener ventas en línea por tiempo indefinido y generando pérdidas diarias millonarias en ingresos. Según expertos del sector, las ventas online de M&S promedian alrededor de £3,5–3,8 millones por día, monto que dejó de ingresar mientras la web permaneció inactiva. En paralelo, unas 200 personas del personal de almacenes fueron enviadas a casa al quedar inutilizados los sistemas logísticos. En los días siguientes, algunas tiendas presentaron estantes vacíos en ciertas secciones de alimentos, reflejo de la disrupción en la cadena de suministros. La situación se convirtió rápidamente en una de las mayores crisis cibernéticas enfrentadas por una empresa de retail en el Reino Unido, manteniendo a M&S en una operación limitada durante semanas.

Para dimensionar la cronología y efectos iniciales del ataque, a continuación se resume la secuencia de eventos clave:

‍

Ransomware DragonForce: cifrado de sistemas y demanda de rescate

Diversas fuentes han confirmado que el incidente en M&S fue un ataque de ransomware, es decir, un tipo de malware que cifra archivos críticos de la empresa y exige un rescate económico a cambio de restaurar el acceso. En este caso, los atacantes emplearon el ransomware DragonForce, desplegado el 24 de abril sobre servidores de M&S para encriptar máquinas virtuales y dejar inoperativos múltiples sistemas corporativos. DragonForce es un malware relativamente nuevo (surgido a finales de 2023) que opera bajo un modelo de Ransomware-as-a-Service(RaaS): sus creadores ofrecen la herramienta a afiliados criminales a cambio de una comisión del 20–30% sobre los rescates pagados.

Como es típico en estos ataques, tras cifrar los datos los delincuentes habrían exigido un pago en criptomonedas a cambio de la clave para descifrar los sistemas y de la promesa de no difundir la información robada. Este método de extorsión doble de encriptar archivos y amenazar con filtrar datos sensibles, busca presionar a la víctima para que pague rápidamente. Fuentes cercanas a la investigación señalaron que los hackers de DragonForce incluso afirmaron haber contactado directamente a ejecutivos de la empresa afectada (incluyendo al jefe de ciberseguridad) para comunicar sus demandas, aprovechando canales internos como Microsoft Teams.

Sin embargo, M&S no ha confirmado oficialmente la existencia de una demanda de rescate ni si ha entablado negociaciones con los atacantes. La compañía se ha mantenido hermética sobre los detalles técnicos y operativos del ataque. “Como es de esperar, no podemos compartir los detalles de este incidente cibernético”, declaró M&S ante consultas de la prensa. Este silencio sugiere que, al menos de cara al público, la empresa optó por no legitimar las amenazas divulgando información sobre posibles pagos o comunicaciones con los delincuentes. Cabe recordar que las autoridades desaconsejan pagar rescates, ya que financiar a los atacantes podría incentivar nuevos ataques y no garantiza la recuperación total de los datos.

‍

Datos filtrados y advertencias a los clientes

Aunque la empresa guardó silencio en un inicio, con el avance de la investigación salieron a la luz robos de información sensible vinculados al ataque. Mark & Spencer confirmó que los intrusos lograron acceder y extraer datos personales de clientes, si bien no obtuvieron contraseñas ni información de pago de las cuentas. Stuart Machin, CEO de M&S, publicó una carta a los clientes explicando que la información sustraída incluía nombres, correos electrónicos, direcciones, números de teléfono, fechas de nacimiento y el historial de pedidos en línea, entre otros detalles. También se habrían visto expuestos ciertos números de referencia internos (por ejemplo, asociados a la tarjeta de fidelización Sparks Pay), así como datos de tarjetas bancarias en formato enmascarado (ocultando dígitos según estándares PCI).

La buena noticia para los consumidores es que no se comprometieron datos financieros utilizables ni claves de acceso, reduciendo el riesgo de fraude directo. Aún así, M&S optó por invalidar las contraseñas de todas las cuentas activas como medida preventiva, forzando a los usuarios a restablecerse en su siguiente inicio de sesión. Adicionalmente, la compañía publicó en su web un listado de preguntas frecuentes y recomendaciones de seguridad. Entre ellas, advirtió a los clientes que extremen la precaución ante posibles correos electrónicos, llamadas o mensajes de texto inesperados que aleguen ser de M&S. La empresa enfatizó que nunca solicitará datos personales ni contraseñas por estas vías, alertando sobre el riesgo de campañas de phishing que intentan explotar la situación. Expertos en seguridad respaldaron estas alertas: aunque los ciberdelincuentes no obtuvieron información financiera directa, podrían usar los datos personales robados (como nombre, contacto y fecha de nacimiento) para lanzar engaños más creíbles y dirigidos contra los afectados. En síntesis, se instó al público a mantenerse vigilante y a verificar cualquier comunicación supuestamente emitida por M&S antes de compartir información sensible.

Por su parte, Kobop que opera un popular grupo de supermercados, no ha brindado detalles públicos sobre si también sufrió robo de datos de clientes o usuarios. No obstante, los propios atacantes afirmaron a medios británicos haber obtenido información de millones de personas vinculadas a Kobop. Según reveló la BBC, los hackers aseguraron tener datos de hasta 20 millones de miembros del programa de fidelización de Kobop (Co-op). Entre estos datos figurarían nombres y detalles de contacto de socios actuales y pasados de la cooperativa. Igual que en el caso de M&S, Kobop informó que en esa filtración no se incluyeron contraseñas ni información financiera de los clientes. Aun así, el potencial volumen de afectados ha generado preocupación, máxime porque la empresa no ha contactado proactivamente a los usuarios para explicar el incidente hasta la fecha. Se teme que, de confirmarse la veracidad de la sustracción masiva de datos, los clientes de Kobop puedan ser blanco de intentos de estafa o suplantación de identidad en el futuro.

‍

Autores del ataque: Scattered Spider y ransomware afiliado

Tras el desconcierto inicial, la atención de analistas de ciberseguridad y periodistas de investigación se centró en identificar a los responsables de estos ataques coordinados. Pronto surgió el nombre de Scattered Spider, un colectivo de hackers de habla inglesa conocido por sus tácticas sofisticadas de ingeniería social. Diversas fuentes, incluyendo la firma de ciberseguridad CrowdStrike y el medio especializado BleepingComputer, atribuyeron el ataque a M&S a afiliados de Scattered Spider operando el ransomware DragonForce. De igual modo, se indica que el incidente en Kobop siguió un patrón similar, lo que sugiere la mano del mismo grupo o de asociados cercanos.

¿Quiénes son los Scattered Spider? Lejos de ser una organización tradicional con estructura fija, el término describe a una comunidad amorfa de ciberdelincuentes con motivación financiera, que colaboran en foros de Telegram, Discord y otros canales clandestinos. Se les vincula con ataques resonantes anteriores, por ejemplo, contra la empresa de casinos MGM Resorts y la plataforma Reddit, y se sabe que varios de sus integrantes originales fueron detenidos en 2023. Sin embargo, nuevos actores o imitadores han retomado sus métodos, manteniendo activa la amenaza. Lo que distingue a Scattered Spider es su especialidad en técnicas de intrusión poco convencionales: son expertos en suplantar al personal de TI de las empresas objetivo para conseguir credenciales, realizar SIM swapping (duplicar tarjetas SIM de teléfonos para sortear la autenticación de dos pasos) e inducir errores humanos mediante phishing dirigido. De hecho, un reporte indicaría que los atacantes de M&S y Kobop engañaron a las mesas de ayuda de TI de ambas compañías, haciéndose pasar por empleados legítimos para obtener el reinicio de contraseñas de acceso. Este vector de ataque impersonar a personal interno, encaja con el modus operandi conocido de Scattered Spider, al punto que el Centro Nacional de Ciberseguridad británico (NCSC) emitió una alerta a todas las empresas para reforzar sus procedimientos de soporte técnico y evitar estas brechas en la verificación de identidad.

Un aspecto importante es que Scattered Spider no desarrolla necesariamente su propio ransomware, sino que alquila o se asocia con operadores de ransomware existentes en un esquema de afiliación. Por ejemplo, en 2022 miembros de este colectivo emplearon ransomware BlackCat/ALPHV en ataques de alto perfil, y más recientemente han sido vinculados al uso de DragonForce, Qilin o Ransom.Hub, según distintos reportes. En otras palabras, actúan como “brokers” del cibercrimen, aportando el acceso a la red víctima (logrado mediante sus habilidades de ingeniería social) y luego utilizando las herramientas de cifrado de terceros para monetizar el ataque. Este modelo de negocio criminal permite a grupos como Scattered Spider aprovechar la infraestructura de ransomware existente, incluidos los portales de negociación de rescates en la web oscura, sin tener que crearla ellos mismos. El caso de DragonForce es ilustrativo: se trata de un ransomware de origen relativamente reciente, ofrecido en foros clandestinos a afiliados, con la peculiaridad de que sus operadores prohíben atacar objetivos en Rusia (una tendencia que sugiere vínculos con entornos rusoparlantes). Scattered Spider, compuesto principalmente por hackers jóvenes del mundo anglosajón, ha sabido explotar estas alianzas para maximizar el alcance de sus golpes. Los indicios técnicos del ataque a M&S (uso de malware DragonForce, técnicas de help desk phishing, etc.) apuntan claramente a esta convergencia entre un grupo de hablantes nativos de inglés y un cartel internacional de ransomware, colaboración que las autoridades describen como cada vez más común.

De momento, ninguna autoridad ha identificado con nombre y apellido a los individuos responsables de estos incidentes específicos. El NCSC del Reino Unido ha confirmado estar investigando junto con la Policía Metropolitana y la Agencia Nacional contra el Crimen (NCA), pero no ha atribuido públicamente el ataque a ningún grupo en particular aún. Fuentes de inteligencia consideran posible que los asaltos a M&S, Kobop y el intento frustrado contra los almacenes Harrods formen parte de una misma campaña de extorsión dirigida a minoristas británicos. No obstante, las autoridades también barajan que la revelación del ataque a M&S pudo haber puesto en guardia a otras empresas, ayudando a detectar intrusiones en Co-op (Kobop) y Harrods en días posteriores. En otras palabras, podría tratarse de atacantes relacionadoso bien de grupos distintos aprovechando una coyuntura de vulnerabilidad general en el sector comercial. Sea como fuere, la huella digital del modus operandi, ingeniería social avanzada, ransomware de alquiler y amplias filtraciones de datos, encaja con la marca de Scattered Spider y sus afiliados.

‍

Hermetismo y preocupación en el caso Kobop

Mientras que Marks & Spencer acabó reconociendo públicamente aspectos del ataque (como la brecha de datos personales) tras varios días de especulación, en el caso de Kobop la gestión informativa ha sido aún más hermética. Kobop, cuyo nombre ha trascendido en fuentes periodísticas españolas para referirse a la cooperativa minorista británica Co-op Group, fue señalada como otra de las víctimas del grupo DragonForce. Sin embargo, a diferencia de M&S, la empresa no emitió comunicados detallados en los días inmediatamente posteriores al incidente.

Inicialmente, el único pronunciamiento oficial de Kobop se dio el 30 de abril, cuando un portavoz informó escuetamente que habían detectado intentos de acceso no autorizado en algunos sistemas y que, por precaución, habían desactivado partes de su infraestructura de TI. Se enfatizó entonces que las tiendas físicas, los servicios funerarios (otra rama de negocio del Co-op) y las entregas a domicilio no se vieron afectados. Esta declaración buscó tranquilizar al público indicando que el impacto estaba contenido, sugeriendo incluso que se había tratado de un intento de intrusión frustrado. No se mencionó nada sobre ransomware, robo de datos o demandas de rescate, lo que llevó a muchos a pensar que el incidente en Kobop había sido menor comparado con el de M&S.

No obstante, con el paso de las horas, periodistas de investigación descubrieron que la situación en Kobop era más grave de lo admitido inicialmente. Según información obtenida por BleepingComputer, los mismos hackers detrás del ataque a M&S habrían penetrado la red de Kobop el 22 de abril (el mismo día que irrumpieron en M&S), utilizando tácticas de ingeniería social calcadas: engañaron al personal de soporte técnico para reiniciar las credenciales de un empleado y así obtener acceso a la red. Una vez dentro, robaronal igual que en M&S, el archivo maestro de Active Directory (NTDS.dit) con hashes de contraseñas y comenzaron a cifrar servidores. La diferencia es que en Kobop al parecer no lograron desplegar el ransomware tan extensamente: la empresa contaba con defensas que impidieron daños mayores a la infraestructura, limitando el alcance del cifrado. A pesar de ello, los atacantes sí obtuvieron una gran cantidad de datos confidenciales, como luego ellos mismos se encargaron de divulgar.

El 2 de mayo, tras reportes de prensa y la presión de evidencias, Kobop rompió su silencio y confirmó que había ocurrido un robo de información en sus sistemas. En un comunicado muy conciso, la compañía admitió que “los hackers lograron acceder y extraer datos de uno de nuestros sistemas”, afectando a “un número significativo de nuestros miembros actuales y pasados”. Detallaron que entre los datos comprometidos se hallaban nombres y datos de contacto de clientes, pero insistieron en que no incluían contraseñas, ni datos bancarios o de tarjetas, ni historiales de compras. Este reconocimiento supuso un giro de 180 grados respecto a la narrativa inicial de “intento frustrado”: quedaba claro que Kobop también había sido víctima de la campaña de extorsión.

Pese a esta confirmación, la comunicación de Kobop siguió siendo minimalista. La empresa no ofreció cifras concretas de cuántos millones de clientes estaban afectados ni aclaró si había recibido demandas de rescate. De hecho, cuando los periodistas solicitaron más información, Kobop se negó a ampliarla, limitándose a reenviar su declaración original sin añadir nada más. Este mutismo corporativo contrastó con la abundancia de detalles que los propios ciberdelincuentes proporcionaron a los medios. En una reveladora entrevista con la BBC, miembros de DragonForce exhibieron pruebas de los datos sustraídos a Kobop e incluso capturas de pantalla de mensajes de extorsión enviados a ejecutivos de la cooperativa. Los hackers se jactaban de haber obtenido información de millones de clientes y de haber contactado directamente a la dirección de Kobop para exigir un pago bajo amenaza de publicar los datos en la dark web.

El hermetismo de Kobop ante estos hechos ha generado críticas y desasosiego entre el público. Asociaciones de consumidores señalan que la falta de transparencia impide a los clientes evaluar su riesgo y tomar medidas de protección (por ejemplo, estar alertas ante phishing o vigilar movimientos inusuales en sus cuentas, en caso de que alguna información financiera pudiera deducirse). Asimismo, empleados de la cooperativa, según trascendidos en redes internas, se muestran inquietos por la escasa información brindada por la dirección, temiendo que la empresa esté negociando en secreto con los atacantes o que haya más sistemas comprometidos de lo que se admite públicamente. Cada día sin aclaraciones oficiales alimenta la especulación en medios y foros: ¿Pagará Kobop el rescate? ¿Qué tan profundo fue el acceso de los hackers? ¿Corre riesgo la cadena de suministro o la operación de las tiendas? La compañía, hasta el momento de esta publicación, no ha respondido esas preguntas, lo que no hace sino aumentar el interés público y la ansiedad en torno al caso.

‍

Impacto económico y reputacional

Más allá de las implicaciones técnicas, estos ataques están teniendo consecuencias económicas significativas para las empresas involucradas. En el caso de M&S, la paralización del canal online y los daños colaterales en tiendas físicas supusieron un golpe tangible en sus finanzas. La compañía aún no ha publicado un cálculo oficial de pérdidas, pero analistas estiman que dejó de vender aproximadamente £3–4 millones diarios durante el cierre de su plataforma de comercio electrónico. Adicionalmente, la firma de inversión Deutsche Bank proyectó un impacto de alrededor de £30 millones en el beneficio de M&S hasta inicios de mayo, con un costo incremental de £15 millones por cada semana adicional que persista la interrupción. Buena parte de estos daños podría ser cubierta por seguros cibernéticos, según apuntan los analistas, aunque dichas pólizas suelen tener límites temporales y de monto. En todo caso, los expertos señalan que el mayor costo de un ciberataque proviene de la pérdida de negocio (ventas no realizadas) y de posibles sanciones o pérdida de confianza de los clientes si hay filtración de datos sensibles. Otros gastos incluyen la contratación de empresas externas de ciberseguridad, inversión en tecnología para reparar y “blindar” los sistemas, y el tiempo extra del personal dedicado a la recuperación.

En la bolsa de valores, el efecto fue inmediato. La cotización de Marks & Spencer se desplomó en cuanto se conoció la noticia del hackeo. En la primera semana, el valor de mercado de M&S cayó en unos £700 millones (aproximadamente un 12% de su capitalización). Aunque posteriormente la acción mostró cierta recuperación tras los comunicados tranquilizadores sobre la protección de datos financieros, a mediados de mayo aún acumulaba una baja del 15% respecto al nivel previo al ataque, evidenciando la erosión en la confianza de los inversores. La prensa británica subrayó que la incertidumbre sobre cuándo terminaría la crisis y cuánto costaría resolverla fue un factor clave en este castigo bursátil. Cada día sin sistema de pedidos online representaba no solo ingresos perdidos, sino también clientes potencialmente migrando a la competencia ante la imposibilidad de comprar en la web de M&S.

Kobop, al no ser una empresa que cotice en mercados públicos de valores, no experimentó un impacto bursátil medible. Sin embargo, su reputación e imagen de marca están en juego. Co-op Group es una cooperativa con una base de miembros leales en el Reino Unido, y la revelación de que datos de tantos de ellos pudieran haber sido robados genera un daño reputacional difícil de cuantificar. Si bien la empresa insistió en que información financiera sensible no fue expuesta, muchos clientes se han mostrado preocupados en redes sociales por la protección de su privacidad. Expertos advierten que una respuesta percibida como opaca o lenta por parte de la empresa podría minar la confianza construida durante años con sus miembros. En el sector minorista, la confianza es un activo invaluable: perderla puede traducirse en menor fidelidad de los clientes y en detrimento de las ventas a mediano plazo.

A continuación, se resumen algunos indicadores públicos del impacto financiero que ha trascendido hasta ahora en el caso de Marks & Spencer, los cuales dan cuenta de la magnitud del incidente:

Tabla: Impacto estimado de los ciberataques en M&S y Kobop (datos públicos recopilados de informes de prensa y analistas).**

Cifras sujetas a confirmación oficial. M&S no ha divulgado aún el costo total del incidente ni el número preciso de clientes afectados; las estimaciones provienen de analistas externos. Kobop tampoco ha revelado públicamente el alcance exacto de su brecha de datos, más allá de confirmar que involucró a “un número significativo” de miembros.

En términos de servicio, ambos ataques tuvieron consecuencias palpables para los consumidores. M&S debió cancelar miles de pedidos en curso, la empresa informó que los pedidos realizados después del 23 de abril fueron anulados y reembolsados, causando malestar e inconvenientes justo tras un periodo de rebajas de Pascua. Asimismo, la suspensión prolongada de su comercio electrónico dejó a muchos clientes sin poder adquirir productos de ropa y hogar más que acudiendo físicamente a las tiendas, algo que en pleno siglo XXI afecta la competitividad de la marca. Si la contingencia se hubiera extendido varias semanas más, podría haber implicado pérdidas incluso de la temporada de verano en línea. En el caso de Kobop, el impacto en la operación diaria fue menor, no se reportó cierre de tiendas ni interrupción de ventas en supermercados, pero internamente la cooperativa tuvo que desconectar sistemas administrativos y de back-end durante días. Esto afectó, por ejemplo, la atención de su call-center y ciertos procesos de oficina, aunque los clientes de tiendas probablemente no notarán mayores problemas a corto plazo. La principal secuela para Kobop es la mencionada pérdida de datos de sus miembros y la incertidumbre sobre su posible publicación ilícita, lo que constituye un riesgo latente de daño a su marca en el futuro.

‍

Reflexión final: transparencia y ciberseguridad empresarial

Los ciberataques contra Marks & Spencer y Kobop han puesto de relieve la delicada posición en la que quedan las empresas tras una brecha de seguridad: deben manejar la recuperación técnica, la comunicación al público y la colaboración con autoridades, todo simultáneamente y bajo intensa presión. Ambos casos evidencian que, cuando se combina la extorsión digital con un vacío informativo oficial, el resultado es una gran inquietud en la sociedad y en los mercados. La falta de información clara al comienzo, sea para no entorpecer la investigación o por estrategia frente a los atacantes, puede terminar alimentando rumores y dañando la credibilidad de la empresa. En contraste, expertos en gestión de crisis sugieren que la transparencia proactiva (informar tempranamente qué se sabe y qué no, cómo se está actuando y qué medidas deben tomar los afectados) suele ser la mejor vía para mantener la confianza del público.

En estas incidencias, también se observa cómo los ciberdelincuentes buscan dominar el relato: DragonForce y sus afiliados no dudaron en contactar a periodistas y divulgar sus logros para ejercer presión. Ante ello, las organizaciones deben equilibrar la cautela (no divulgar detalles que puedan empeorar la situación) con la necesidad de mantener informados a clientes, inversores y empleados. Un ejemplo positivo relativo a M&S fue la carta abierta de su CEO y la publicación de la FAQ de seguridad, acciones que, aunque tardías, fueron bien recibidas por proporcionar orientación a los usuarios. En el polo opuesto, el mutismo inicial de Kobop sirvió de lección sobre cómo no gestionar la comunicación: incluso si la intención era evitar alarmar sin contar con todos los datos, ese silencio prolongado erosionó la percepción de control de la empresa sobre el incidente.

Por otro lado, estos ataques subrayan la imperiosa necesidad de robustecer la ciberseguridad corporativa. Los métodos empleados (phishing al helpdesk, robo de credenciales, explotación de software de terceros) demuestran que no solo la tecnología es vulnerada, sino también los procesos y el factor humano. Un simple procedimiento mal configurado de verificación de identidades internas abrió la puerta a intrusos en dos compañías de gran tamaño. “Si le puede pasar a M&S, le puede pasar a cualquiera”, resumió Ciaran Martin, ex director del NCSC británico. Desde el gobierno del Reino Unido han calificado estos incidentes como una “llamada de atención” general: ningún sectorni siquiera minoristas tradicionales– ,uede darse el lujo de ignorar el riesgo cibernético. Las autoridades han instado a todas las organizaciones a revisar sus medidas de seguridad, especialmente las relacionadas con controles de acceso, autenticación multifactor y capacitación del personal para detectar intentos de engaño.

Finalmente, la experiencia de Marks & Spencer y Kobop deja en evidencia que la transparencia y la ciberseguridad van de la mano en la protección del interés público. En una era donde las empresas almacenan enormes cantidades de datos personales y dependen de sistemas digitales para operar, ocultar o minimizar un ciberataque ya no es viable sin arriesgar un golpe aún mayor a la reputación. La confianza del público se fortalece cuando las compañías reconocen los problemas con honestidad y actúan con diligencia para resolverlos. En contraste, la opacidad solo alimenta la incertidumbre y puede llegar a considerarse negligencia ante los ojos de clientes y reguladores. Como bien señaló Richard Horne, director del NCSC, estos incidentes deben servir de recordatorio de que todas las organizaciones, grandes o pequeñas, necesitan invertir en prepararse contra ransomware y otros delitos informáticos. La prevención proactiva, respaldada por planes de respuesta a incidentes y una comunicación transparente, será clave para que en el futuro la ciberdelincuencia no encuentre espacios donde prosperar impunemente.

Fuentes: Declaraciones oficiales de Marks & Spencer; comunicados de Co-op Group; reportes de Reuters, BBC News, The Guardian y BleepingComputer, entre otros. Todas las cifras y aseveraciones han sido contrastadas con dichas fuentes para garantizar su veracidad. En un contexto de escasez de información oficial, los datos aportados por expertos y organismos de ciberseguridad han resultado cruciales para reconstruir los hechos y comprender el alcance real de esta ola de ataques. La investigación permanece en curso, y queda por ver si las autoridades lograrán identificar y llevar ante la justicia a los responsables de esta campaña de extorsión digital que puso en jaque a dos emblemáticas organizaciones británicas.