Dos grandes bandas de ciberdelincuentes están en guerra: quieren dominar el crimen en la red

Varios minoristas británicos han sido víctimas de ciberataques en 2025. Marks & Spencer, especializado en la venta de ropa, productos para el hogar y alimentación de lujo, fue atacado con un ransomware entre el 19 y 22 de abril, provocando el cierre de sus sistemas de pago, click-and-collect y pedidos online. Los hackers engañaron a empleados de un proveedor externo, obteniendo acceso mediante SIM-swapping (duplicación o suplantación de la tarjeta SIM).

El ataque fue atribuido a Scattered Spider y/o afiliados de DragonForce, grupos vinculados al secuestro de datos (ransomware). DragonForce habría sido también el causante del robo de una gran cantidad de datos de clientes y empleados de Co-Op, una cooperativa de consumidores británica con negocios minoristas y mayoristas que incluyen la venta de comestibles, servicios legales, funerarios y seguros, así como empresas sociales.

DragonForce también habría intentado adentrarse en los sistemas de Harrods, la icónica tienda departamental de lujo de Londres conocida por pertenecer hasta 2010 a Mohamed Al-Fayed (padre de Dodi Al-Fayed, el heredero multimillonario egipcio que falleció en un accidente automovilístico unto con Diana, princesa de Gales), utilizando tácticas similares a las empleadas en Marks & Spencer y Co-Op. Todos estos ciberataques podrían haber iniciado una guerra territorial con sus rivales que podría atraer más ataques y consecuencias.

Que se preparen las empresas: se acerca una oleada de ciberataques muy dañina

DragonForce es un grupo de cibercriminales de habla mayoritariamente rusa que estaría detrás de los recientes ataques a minoristas británicos. Se habría enfrentado a uno de sus mayores rivales, RansomHub, según expertos en ciberseguridad que están siguiendo de cerca la batalla para dominar el sector del ransomware.

El conflicto entre ambos grupos, que operan en el mercado de ransomware como servicio (RaaS), podría provocar más riesgos para las empresas, existiendo la posibilidad de que sean extorsionadas dos veces. Toby Lewis, director global de análisis de amenazas de Darktrace, dijo que "no hay honor entre ladrones" en el mundo de la piratería.

La mayoría de los grupos de ciberdelincuentes tienen una necesidad arraigada de elogios y superioridad que podría llevarlos a intentar "superarse" entre sí al intentar atacar y extorsionar al mismo objetivo

Este tipo de bandas opera vendiendo las herramientas y la infraestructura necesarias para acceder a los sistemas informáticos de las empresas y extorsionarlas. Operan en la Dark Web (red oscura), donde compiten por vender sus servicios a quienes buscan cometer los ciberdelitos. Estos son conocidos como "aliados", como Scattered Spider, vinculado al ataque a M&S y al hackeo de hace unos días de la aerolínea australiana Qantas.

La relación entre DragonForce y RansomHub se deterioró después de que los primeros ampliaran su catálogo de servicios en marzo, expandiendo su alcance para atraer a más socios "afiliados". Ese mismo mes, el sitio web de RansomHub fue dado de baja con un cartel que decía "RIP 3/3/25", lo que dio a pensar que había sido una adquisición hostil por parte de DragonForce, según el grupo de ciberseguridad Sophos. En represalia, un miembro de RansomHub desfiguró el sitio web de DragonForce, tachándolos de "traidores".