La Agencia Nacional del Crimen del Reino Unido (NCA) anunció el jueves que cuatro personas han sido arrestadas en relación con los ataques cibernéticos dirigidos a los principales minoristas Marks & Spencer, Co-op y Harrods.
Los individuos arrestados incluyen dos hombres de 19 años, un tercio de 17 años y una mujer de 20 años. Fueron detenidos en West Midlands y Londres bajo sospecha de delitos de la Ley de uso indebido informático, chantaje, lavado de dinero y participar en las actividades de un grupo de delitos organizados.
Los cuatro sospechosos fueron arrestados de sus hogares y sus dispositivos electrónicos han sido incautados para un análisis forense adicional. Sus nombres no fueron revelados.
«Desde que se llevaron a cabo estos ataques, los investigadores especializados de delitos cibernéticos de la NCA han estado trabajando en PACE y la investigación sigue siendo una de las prioridades más altas de la agencia», dijo en un comunicado el director adjunto Paul Foster, jefe de la Unidad Nacional de Crimen Cibernético de la NCA.
«Los arrestos de hoy son un paso significativo en esa investigación, pero nuestro trabajo continúa, junto con socios en el Reino Unido y en el extranjero, para garantizar que los responsables sean identificados y llevados ante la justicia».
Según el Cyber Monitoring Center (CMC), los ataques cibernéticos de abril de 2025 dirigidos a Marks & Spencer y Co-op se han clasificado como un «evento cibernético único» con un impacto financiero de entre £ 270 millones ($ 363 millones) y £ 440 millones ($ 592 millones).
La NCA no nombró al «grupo de crimen organizado» del que forman parte de los individuos, pero se cree que algunos de estos ataques han sido perpetrados por un grupo descentralizado de delitos cibernéticos llamado Sptered Spider, que es conocido por sus estrategas de ingeniería social avanzadas para violar organizaciones y desplegar ransomware.
«Si bien el ransomware es una amenaza siempre presente, la araña dispersa representa un adversario persistente y capaz cuyas operaciones han sido históricamente efectivas incluso contra organizaciones con programas de seguridad maduros», dijo Grayson North, consultor de seguridad senior de Guidepoint Security, a The Hacker News.
«El éxito de la araña dispersa no es exactamente el resultado de ninguna táctica nueva o novedosa, sino su experiencia en ingeniería social y disposición a ser extremadamente persistente al intentar obtener acceso inicial a sus objetivos».
La mayoría de las personas asociadas con el grupo impulsado financieramente son hablantes de inglés jóvenes y nativos, lo que les da una ventaja cuando intentan ganar confianza con sus objetivos haciendo llamadas falsas para ayudar a los escritorios que se hacen pasar por empleados.
La araña dispersa es parte del COM, un colectivo suelto más grande responsable de una amplia gama de delitos, que incluyen ingeniería social, phishing, intercambio de sim, extorsión, sextortion, hinchazón, secuestro y asesinato.
«La araña dispersa demuestra una estrategia de orientación calculada y oportunista, que gira entre industrias y geografías basadas en la visibilidad, el potencial de pago y el calor operativo», señaló Halcyon.
Mandiant, propiedad de Google, dijo que la araña dispersa tiene el hábito de centrarse en un solo sector a la vez, mientras mantiene consistentes sus tácticas, técnicas y procedimientos (TTP) consistentes. Esto incluye establecer dominios de phishing que imiten estrechamente los portales de inicio de sesión corporativos legítimos y están diseñados para engañar a los empleados para que revelen sus credenciales.
«Esto significa que las organizaciones pueden tomar medidas proactivas como capacitar a su personal de la mesa de ayuda para hacer cumplir los sólidos procesos de verificación de identidad y desplegar MFA resistente a phishing para defenderse de estas intrusiones», dijo Charles Carmakal, CTO, consultoría mandante en Google Cloud.