Lindsey Nelson, jefe de desarrollo cibernético en CFC, explica porque los minoristas son los principales objetivos de los ataques cibernéticos y ofrece conocimientos importantes sobre la protección de los negocios
Por Yasmín Donald | 6 de mayo de 2025
Desde Marks & Spencer (M&S) hasta el Co-op y Harrods, ha habido una avalancha reciente de ataques cibernéticos dirigidos a los minoristas más importantes del Reino Unido. Pero a pesar de que la rápida ocurrencia de los incidentes pudo haber captado los titulares, los minoristas como objetivo está lejos de ser algo nuevo.
“Los minoristas son una de las industrias, junto a la atención médica, que fueron las primeras víctimas de ataques cibernéticos y como resultado uno de los primeros que adoptaron los seguros cibernéticos luego de una brecha de información de gran escala y eventos relacionados a la privacidad a inicios del año 2000,” explicó Lindsey Nelson, jefe de desarrollo cibernético en CFC.
Por qué los minoristas son un objetivo principal
Hablando sobre porqué los minoristas se encuentran bajo riesgo, Nelson destacó: “su exposición siempre ha sido primeramente en el hecho de que, especialmente las grandes empresas, tienen grandes cantidades de información de pago de los clientes, están relacionados a diferentes terceros de la cadena de provisión, y son naturalmente objetivos de alto perfil debido a sus perfiles de marca y cantidad de clientes y participantes que son impactados.”
Por qué los minoristas son un objetivo principal
Hablando sobre porqué los minoristas se encuentran bajo riesgo, Nelson destacó: “su exposición siempre ha sido primeramente en el hecho de que, especialmente las grandes empresas, tienen grandes cantidades de información de pago de los clientes, están relacionados a diferentes terceros de la cadena de provisión, y son naturalmente objetivos de alto perfil debido a sus perfiles de marca y cantidad de clientes y participantes que son impactados.”
Los métodos de ataque están evolucionando
Tal y como sucede con la mayoría de las formas de ataques cibernéticos, los actores de amenazas están constantemente evolucionando, lo cual puede ser algo difícil de seguir para los seguros.
“Los actores de amenazas pueden infiltrarse exitosamente en las bases de datos de contraseñas y descifrar las contraseñas para utilizar credenciales legítimas con el fin de obtener acceso a los sistemas de las empresas,” expresó Nelson. “A partir de ahí, se hace muy fácil para los actores de amenazas implementar un secuestro de datos (ransomware) frecuentemente como RaaS (secuestro como un servicio), lo cual requiere menos sofisticación y aumenta el nivel y la rapidez de los ataques.”
Nelson añadió que lo que está sucediendo actualmente es algo diferente a otros ataques cibernéticos.
“Lo que es nuevo aquí es que existe un enfoque claro en los minoristas del Reino Unido, lo cual está aumentando a una gran velocidad probablemente producto de su inestabilidad interna y la amenaza inminente a estar expuesto externamente, lo que ha provocado varios ataques en rápida sucesión,” expresó.
Los costos directos e indirectos de los ataques cibernéticos son significativos. La encuesta GVO.UK 2024 estima: “la brecha más disruptiva de los últimos 12 meses le costó a cada empresa de cualquier tamaño un promedio de aproximadamente £1,205. Para las empresas medianas y grandes, esto fue aproximadamente £10,830.”
Más allá de la interrupción operativa, la brecha de M&S provocó pérdidas sustanciales, con reportes de “reuniones a las 3am y 40 millones de libras a la semana en ventas perdidas.”
Cobertura cibernética esencial
Con la vulnerabilidad de los minoristas a los ataques cibernéticos, Nelson piensa que existen opciones importantes de cobertura que los corredores deben considerar:
- Amplia cobertura de interrupción de negocios para todos los peligros no físicos
- Cobertura de responsabilidad civil de la gestión provocada por el espacio cibernético, que se extiende a los CTO y CISO
- Sistemas de reparación y costos de reconstrucción luego de un ataque de secuestro de información (ransomware)
- Aumento adicional de los costos de la cobertura de trabajo
- Cobertura de daños a la reputación consecuentes, para clientes perdidos como resultado del evento y según lo determine un ajustador externo independiente
- Fuentes continuas de inteligencia de amenazas, incluyendo la identificación de la superficie de ataque, alertas de día cero y soporte 24/7
- Evitar el lenguaje de la política que incluya garantías o condiciones como controles de seguridad
Disminución de riesgos
Una ola reciente de ataques a los minoristas del Reino Unido involucró generalmente ingeniería social. Según Nelson: “las tácticas de ingeniería social son comunes en los actores de amenazas ya que esto significa obtener credenciales legítimas para acceder a los sistemas de las empresas donde pueden persistir haciendo la debida diligencia en el impacto operacional de la organización, determinar el impacto para influir en la demanda de rescate, si hay alguno, y eventualmente implementar el ataque de secuestro de información generalmente con exfiltración de información y el potencial para una doble extorsión al liberarlo.”
Para reducir estos riesgos, Nelson recomienda: “utilizar entrenamiento sobre activadores sicológicos, simulaciones y pruebas regulares de robo de identidad (phishing), e implementación de autenticación múltiple para el acceso remoto.”
Las estrategias adicionales de disminución incluyen:
- Promover prácticas fuertes de higiene cibernética en la organización
- Monitorear los riesgos de la reutilización de credenciales, especialmente de los sistemas basados en nubes
- Pruebas regulares de los manuales de estrategias de secuestro de información (ransomware), especialmente en escenarios de robo de credenciales
- Ejecución de ejercicios de sobremesa sobre el uso indebido del acceso privilegiado y la planificación de la recuperación
Puntos ciegos de terceros
Los minoristas también enfrentan exposiciones escondidas a través de proveedores externos, advirtió Nelson. “A pesar de la inversión en su propia seguridad cibernética, es evidente que los proveedores externos al final pueden introducir vulnerabilidades a su ecosistema a través de su propio programa y servicios,” expresó. “Del mismo modo, los ataques a la cadena de provisión crean un efecto de cascada hacia múltiples empresas que utilizan la misma dependencia.”
Muchas organizaciones no conocen la manera en que sus pólizas cibernéticas abordan estos riesgos. Nelson enfatizó: “una de las mayores lecciones aprendidas fue que muchas organizaciones no sabían que el seguro cibernético no solo cubre sus propios riesgos, sino que también cubre a sus proveedores externos y si involucró a terceros maliciosos o fue simplemente un evento provocado por una falla en los sistemas.”
Según los hallazgos de Security Scorecard, los sectores minorista y hotelero lideraron las tasas de violación de terceros en el año 2024, con «el 52,4% de las violaciones vinculadas al acceso de terceros».
La función del corredor
Nelson entiende que los corredores desempeñan una función importante en ayudar a los clientes a enfrentar el aumento de las amenazas cibernéticas. Las áreas principales que deben ser evaluadas incluyen:
- Rutas de escalada de privilegios y reutilización de credenciales
- Controles de acceso a software en la nube
- Pruebas de estrategias contra el secuestro de información (ransomware)
- Ejercicios prácticos sobre el uso indebido del acceso y su recuperación
Nelson enfatizó la urgencia de conversaciones proactivas con los clientes: “si no estás hablándole a tus clientes acerca del seguro cibernético, no hay duda de que tus competidores lo estarán haciendo ahora mismo.”
Las revisiones regulares también son importantes. Nelson enfatizó las actualizaciones periódicas de las estrategias de riesgo cibernético, “por lo menos una vez al año”, o en respuesta a “grandes cambios organizacionales o vulnerabilidades emergentes,” para permanecer actualizados sobre el panorama de amenazas en evolución.
Los corredores puede que también deseen considerar:
- Revisar la exposición de los riesgos de proveedores externos y confirmar si las pólizas cubren la interrupción de negocios dependiente
- Evaluar la capacidad de los planes de respuesta a los incidentes, incluyendo estrategias de comunicación y obligaciones legales
- Asegurar claridad en la provisión de pago de los secuestros y las consideraciones legales y regulatorias relacionadas
- Motivar la inversión en herramientas de monitoreo continuo, incluyendo inteligencia de amenazas y detección de anomalías
- Verificar el entendimiento del cliente de las exclusiones de la póliza, los sublímites y las obligaciones posteriores a los incidentes
De Paz y Asociados, SRL 