Marks & Spencer perd mil milions en borsa en un mes per un atac informàtic
Els grans magatzems britànics comuniquen als 9,4 milions de clients en línia que les seves dades han estat robades
LondresNomés els que tinguin memòria i uns quants anys deuen recordar la botiga de Marks & Spencer (M&S) de la plaça de Catalunya de Barcelona –va obrir el 1999–, al mateix edifici on hi havia hagut el famós Banc Central de l'assalt (maig del 1981) i ara hi ha un Primark. I potser també recorden la que hi havia a l'interior de l'Illa Diagonal. Van ser dos dels nou establiments que la cadena britànica va arribar a tenir a Espanya des que s'hi va instal·lar, per primera vegada a Madrid (1994). M&S va abandonar totes les seves operacions al mercat continental el 2001, quan va tancar els 38 locals que tenia a l'altra banda del canal de la Mànega.
L'any passat Marks & Spencer va tornar físicament a Espanya, amb l'obertura d'una nova botiga al centre comercial La Vaguada, al nord de Madrid, en aquesta ocasió amb un model de franquícia. La premsa britànica ha especulat recentment amb la possibilitat d'un retorn físic també a Barcelona. En tot cas, hi arribi o no, la inauguració del centre a Madrid –a més d'un parell a Màlaga i Marbella– era la culminació –i potser el primer pas– d'una nova estratègia que s'havia posat en marxa el 2012, amb la inauguració de la botiga virtual espanyola.
Però, des de fa un mes, cap dels més de 9,4 milions de clients actius en línia que té la cadena no poden comprar res a través de la web: ni a Espanya, ni al Regne Unit ni enlloc. La raó, un ciberatac –es va conèixer a finals d'abril, però va tenir lloc el dia 19– que ha provocat que la immensa majoria de les mil botigues i escaig que hi ha escampades pel Regne Unit tinguin problemes de subministraments i presentin prestatgeries buides, especialment els locals d'alimentació (M&S Food) i seccions d'aliments dels grans magatzems.
Els especialistes del sector calculen en 40 milions de lliures setmanals les pèrdues que ha provocat el ciberatac. Pel que fa al valor a borsa, l’empresa ha perdut 1.000 milions de lliures des d'aleshores (una caiguda del 17%), un impacte econòmic que ja ha superat a bastament el límit de cobertura de cent milions de la seva assegurança. Quan recuperarà la normalitat? Encara queden setmanes.
Cinquanta-dues hores d'assalt
El diari The Times revelava la setmana passada que, d'acord amb l'anàlisi forense digital que s'està duent a terme, els pirates informàtics van operar sense ser detectats durant aproximadament 52 hores abans que es fes sonar l'alarma. Aleshores, equips d’emergència van defensar els sistemes informàtics de l'empresa durant una “fase d’atac” que es va allargar cinc dies. Finalment, després de molta opacitat, la setmana passada Marks & Spencer va admetre que totes les dades personals dels esmentats 9,4 milions de clients van ser robades, tot i que la informació associada a les targetes de crèdit no ha estat compromesa. En tot cas, tant la policia com els mitjans de comunicació ja han informat d'estafes a través de l'habitual phishing. Però no s'ha detectat una presència massiva al web fosc d'aquestes dades.
Aquesta setmana havia de ser de joia per a la companyia, que aquest dimecres ha presentat resultats. Els analistes preveien un augment del 17% en el benefici abans d'impostos, fins als 875 milions de lliures per al període 31 de març del 2024-25. Però el ciberatac ha capgirat l'optimisme en pessimisme. I la companyia ha anunciat una previsió de pèrdues per a l'any vinent de 300 milions, una mica més dels beneficis obtinguts. El comerç en línia no es recuperarà fins al juliol.
Com va ser possible tot plegat? D'acord amb tots els analistes consultats, entre els quals el professor Hossein Abroshan, de l'escola d'informàtica i computació de la Universitat Anglia Ruskin, els pirates van accedir als sistemes de M&S a través del frau de duplicació d'una targeta SIM. Tot i que els detalls tècnics complets continuen sota investigació, també el diari The Times informava que van prendre el control del número de mòbil d'un empleat i amb missatges falsos li van fer creure que havia de restablir credencials d'inici de sessió crítiques, que havia de validar amb el seu número de telèfon.
El fenomen no és nou. Segons CIFAS, el servei nacional de prevenció de fraus informàtics del Regne Unit, els incidents de duplicació de SIM han augmentat de menys de 300 el 2022 a gairebé 3.000 el 2023. El que havia estat principalment un risc per als inversors en criptomonedes o influenciadors en línia és ara molt més comú.
Més enllà de les temptatives d'atacs informàtics que es multipliquen per arreu del ciberespai, el fet és que, en menys d'un mes, altres grans magatzems (Harrods), supermercats (Co-op) o distribuïdors d'aliments en cadena de fred (Peter Green Chilled) que abasteixen altres minoristes (Tesco, Sainsbury's, Lidl o Aldi) també han patit ciberatacs, per bé que no tan greus com el de M&S. D'acord amb les diferents informacions que ha publicat la premsa britànica, darrere d'aquests atacs hi ha un grup anomenat Scattered Spider, format per hackers britànics i estatunidencs. Google ha informat també aquesta setmana que aquests pirates han adreçat ara les seves amenaces als minoristes dels Estats Units. Ningú no està a resguard.
