Así que, si alguna vez has tenido relación con esta cadena de supermercados en la que muchos hacen la compra o con alguno de sus múltiples servicios, como seguros, o servicios legales o funerarios, es posible que tu información esté ahora en manos de delincuentes.

6,5 millones de personas afectadas

El ataque, que tuvo lugar en abril de 2025, obligó a la empresa a apagar buena parte de sus sistemas informáticos. Como consecuencia, tuvieron que lidiar con fallos operativos, interrupciones en el suministro de alimentos y caos en la gestión interna de muchos de sus servicios. Aunque en un primer momento se restó importancia al incidente, ahora sabemos que el alcance fue mucho mayor del que se reconoció públicamente.

La propia directora ejecutiva de Co-op, Shirine Khoury-Haq, lo ha confirmado en una entrevista en la BBC que los ciberatacantes copiaron y accedieron a los datos personales de todos los miembros registrados en su base de datos. Aunque, según la empresa, no se han filtrado datos financieros ni de transacciones, la información de contacto sí fue robada. Esto incluye se traduce en millones de nombres y apellidos, direcciones, correos electrónicos y otros datos sensibles que pueden ser utilizados para campañas de suplantación de identidad o phishing.

Hacker-atacando-ordenador-portatil-codigo

Khoury-Haq describió el ataque como “personal” en el sentido más amplio. “No fue un ataque a mí, fue un ataque a nuestros compañeros, a nuestros miembros, a nuestros clientes. Se llevaron sus datos y eso me afecta profundamente”, declaró.

El ataque fue llevado a cabo, según los investigadores, mediante una táctica de ingeniería social. Los atacantes lograron resetear la contraseña de un empleado, lo que les permitió infiltrarse en el sistema de la empresa. A partir de ahí, se movieron lateralmente por la red, accediendo a otros dispositivos para robar un archivo de vital importancia: el Windows NTDS.dit, una base de datos interna de Active Directory que contiene los hashes de contraseñas de todas las cuentas del sistema.

Los hashes son códigos generados mediante funciones matemáticas llamadas funciones hash. Sirven para transformar cualquier tipo de dato (como una contraseña, un archivo o un texto) en una cadena de caracteres única, de longitud fija. Son fundamentales en seguridad informática.

Hacker-capucha-portatil

Las sospechas apuntan a que el ataque está vinculado al grupo de ciberdelincuentes conocido como Scattered Spider, los mismos responsables del ataque a Marks & Spencer y a MGM Resorts en 2023. En todos estos casos, el ransomware DragonForce fue la herramienta utilizada para cifrar sistemas y extorsionar a las víctimas. El mismo grupo ha confirmado en conversaciones con la BBC que fueron responsables del ataque a Co-op, e incluso aportaron muestras de los datos robados como prueba.

La investigación ha avanzado rápidamente. La semana pasada, la Agencia Nacional contra el Crimen del Reino Unido detuvo a cuatro personas presuntamente implicadas en el ataque: dos jóvenes de 19 años, un menor de 17 y una mujer de 20 años, todos arrestados en Londres y en la región de West Midlands. De hecho, una de las personas detenidas estaría relacionada con el mencionado ataque a MGM Resorts, confirmando la vinculación entre ambos ataques.

¿Qué hacer si tus datos han sido expuestos?

Si eres o has sido cliente de Co-op, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) recomienda seguir estos pasos de forma inmediata:

  • Cambia tus contraseñas: prioriza el cambio de la contraseña de Co-op y de cualquier otro servicio donde la reutilizaras.
  • Activa la autenticación en dos pasos (2FA): habilita esta capa extra de seguridad en todas tus cuentas sensibles (correo, banca, redes sociales).
  • Desconfía del phishing: presta máxima atención a correos, SMS o llamadas que suplanten a Co-op. Nunca compartas datos personales o financieros a través de enlaces no solicitados.
  • Monitoriza tus cuentas bancarias: revisa tus extractos en busca de cualquier operación sospechosa y activa las alertas de tu banco.

Aunque Co-op asegura estar colaborando con las autoridades y ha reforzado sus medidas de ciberseguridad, el daño ya está hecho. Los datos personales de millones de personas están ahora en las manos equivocadas y puede tener importantes consecuencias, como intentos de fraude con esos datos, o el uso malicioso en internet.  Además, vuelve a poner sobre la mesa la duda de si las empresas están realmente preparadas para enfrentarse a amenazas en la red, que cada vez son más especializadas. Lo mejor para nosotros, es que no debería haber llegado a España.

Este caso recuerda que nadie está completamente a salvo. Si alguna vez facilitaste tus datos a una gran empresa, para un simple pedido a domicilio o una fidelización, es posible que en algún momento te conviertas en víctima indirecta de un ataque informático.

 

Fuente: Bleeping Computer | adslzone