Los piratas informáticos rusos estuvieron detrás del ciberataque JLR que le costó a la economía del Reino Unido 2.500 millones de dólares

Los piratas informáticos rusos estuvieron detrás del devastador ciberataque del año pasado contra Jaguar Land Rover, según una investigación del New York Times publicada el jueves. La infracción, que comenzó el 31 de agosto de 2025, detuvo la producción en las fábricas de JLR durante unas seis semanas y le costó a la economía británica aproximadamente dos mil quinientos millones de dólares, lo que lo convierte en el ciberataque financieramente más dañino en la historia del Reino Unido. Los investigadores no pudieron determinar si los piratas informáticos trabajaban directamente en nombre del gobierno de Vladimir Putin, eran delincuentes independientes o operaban con la aprobación tácita del gobierno.

Microsoft estaba rastreando grupos de hackers rusos y alertó a JLR sobre su identidad, según el Times. El FBI, la Agencia Nacional contra el Crimen de Gran Bretaña, el Centro Nacional de Seguridad Cibernética, la unidad Mandient de Google y Palo Alto Networks contribuyeron a la investigación, una coalición inusualmente amplia que refleja la gravedad de la infracción.

El ataque comenzó semanas antes de que la infracción se hiciera pública con una campaña de vishing, en la que los atacantes se hicieron pasar por personas internas para engañar a los empleados de JLR para que entregaran sus credenciales de inicio de sesión. Armados con nombres de usuario y contraseñas válidos, en algunos casos con privilegios de administrador, los piratas informáticos ingresaron a través de flujos de autenticación normales y se movieron lateralmente a través de la red de TI de JLR. Las líneas de producción se cerraron el 1 de septiembre y se pidió a los trabajadores que se quedaran en casa.

Los daños se extendieron mucho más allá del suelo de la fábrica. El Centro de Monitoreo Cibernético del Reino Unido estimó el costo económico total en nueve mil millones de libras, con más de 5.000 empresas en toda la cadena de suministro de JLR afectadas. Más tarde, el Banco de Inglaterra atribuyó en parte el ataque al déficit en el crecimiento del PIB, señalando que la producción general había crecido sólo dos décimas por ciento, menos de lo que se había previsto.

El gobierno del Reino Unido respondió con un préstamo de emergencia de 1.500 millones de libras, aproximadamente 2.000 millones de dólares, para ayudar a restaurar la cadena de suministro de JLR, una respuesta sin precedentes a un ciberataque. Un grupo que se hace llamar Scattered Lapsus $Hunter inicialmente se atribuyó la responsabilidad en Telegram después de la violación, pero la investigación del NYT ahora apunta a una operación rusa separada.

En un extraño giro, los investigadores descubrieron que el grupo ruso no era el único en las redes de JLR. Según el Times, un hacker jordano llamado Ray violó de forma independiente partes de la infraestructura de la empresa. El descubrimiento de dos intrusiones no relacionadas en la misma víctima subraya un problema que múltiples investigaciones de violaciones han revelado en los últimos años, a medida que los piratas informáticos criminales y vinculados al Estado convergen cada vez más en los mismos objetivos de alto valor.

La atribución se produce en medio de un intenso patrón de operaciones cibernéticas vinculadas a Rusia dirigidas a infraestructura occidental y ucraniana, desde campañas de robo de credenciales contra objetivos militares ucranianos hasta ataques DDoS en toda Europa. El mes pasado, la policía holandesa confiscó 800 servidores vinculados a un grupo vinculado al Kremlin que atacaba sitios web de gobiernos europeos desde centros de datos en los Países Bajos. La Alianza de Inteligencia Five Eyes advirtió la semana pasada que la IA fronteriza haría que estos ataques fueran más rápidos y difíciles de detener, una perspectiva que hizo que el cierre de seis semanas de JLR fuera un anticipo de lo que estaba por venir.