La Agencia Nacional contra el Crimen del Reino Unido (NCA) ejecutó una operación coordinada que resultó en la detención de cuatro individuos vinculados a una serie de ciberataques devastadores contra importantes cadenas comerciales británicas. Esta intervención representa un golpe significativo contra la ciberdelincuencia organizada que ha puesto en jaque a gigantes del retail como Marks & Spencer, Co-op y Harrods.
Perfil de los Detenidos: Jóvenes Ciberdelincuentes con Alcance Global
Los arrestos se realizaron simultáneamente en Londres y West Midlands, capturando a un grupo diverso compuesto por dos jóvenes de 19 años, un menor de 17 años y una mujer de 20 años. La presencia de un ciudadano letón entre los detenidos subraya la naturaleza transnacional de las amenazas cibernéticas actuales, donde las fronteras geográficas no constituyen barreras para los atacantes.
Los cargos presentados incluyen violaciones a la Ley de Uso Indebido de Computadoras, extorsión, lavado de dinero y participación en actividades criminales organizadas. Las autoridades confiscaron múltiples dispositivos electrónicos para análisis forense digital, buscando identificar colaboradores adicionales y mapear la estructura completa de la red criminal.
Impacto Económico: Pérdidas Millonarias en el Sector Retail
Los ataques perpetrados durante abril y mayo de 2025 generaron consecuencias financieras devastadoras para el sector comercial británico. Marks & Spencer reportó pérdidas estimadas en 402 millones de dólares, principalmente debido a la suspensión forzada de sus operaciones de comercio electrónico y la exposición de información sensible de clientes.
Los atacantes desplegaron el ransomware DragonForce, una amenaza emergente que opera desde diciembre de 2023. Esta organización criminal se autodenomina «cartel de ransomware» y recientemente comenzó a ofrecer servicios de marca blanca a otros grupos delictivos, amplificando exponencialmente el alcance de sus operaciones maliciosas.
Metodología de Ataque: Vínculos con Scattered Spider
El análisis de las técnicas empleadas sugiere conexiones con Scattered Spider, una de las organizaciones cibercriminales más sofisticadas de la actualidad. Los atacantes utilizaron estrategias avanzadas de ingeniería social características de este grupo, incluyendo intercambio de tarjetas SIM y ataques dirigidos contra infraestructuras VMware ESXi.
Scattered Spider, conocida también como Starfraud, Octo Tempest, Muddled Libra y UNC3944, ha comprometido exitosamente más de 100 organizaciones según datos de Mandiant hasta otoño de 2023, concentrando sus actividades principalmente en Estados Unidos y Canadá.
Evolución Táctica del Grupo Criminal
Inicialmente enfocada en fraudes financieros individuales, la organización ha evolucionado hacia operaciones corporativas de mayor complejidad. Scattered Spider forma parte del ecosistema «Com» (The Community), una red criminal juvenil que migró desde el robo de criptomonedas a particulares hacia asaltos sistemáticos a empresas multinacionales.
Entre sus operaciones más destacadas se encuentran los ataques contra MGM Resorts y Caesars Entertainment utilizando ransomware BlackCat, Qilin y RansomHub. Durante 2025, expandieron su alcance geográfico atacando a Qantas de Australia, WestJet de Canadá y Hawaiian Airlines de Estados Unidos.
Identidades Reveladas: Figuras Clave del Submundo Digital
Según investigaciones del periodista especializado Brian Krebs, entre los detenidos se encuentran Owen David Flowers (alias bo764, Holy y Nazi) y Talha Jubair (Earth2Star, Operator). Jubair desempeñó un papel central en el grupo LAPSUS$ y administró Doxbin, una plataforma dedicada a la publicación de información personal comprometida.
Estos arrestos podrían impactar significativamente las operaciones de Scattered Spider, ya que los miembros restantes probablemente suspenderán temporalmente sus actividades para reevaluar riesgos y reestructurar su organización.
Esta operación exitosa demuestra la efectividad de la cooperación internacional en la lucha contra la ciberdelincuencia. Sin embargo, las organizaciones deben reconocer que los grupos criminales cibernéticos poseen notable capacidad de adaptación y reorganización. Es fundamental implementar defensas robustas contra ingeniería social y establecer programas continuos de capacitación para que los empleados identifiquen actividades sospechosas antes de que comprometan la seguridad organizacional.
