La producción en Jaguar Land Rover lleva días parada en Inglaterra por un ciberataque

Cuatro plantas de producción de la empresa Jaguar Land Rover están paradas desde el pasado 2 de septiembre. Un ciberataque a sus sistemas de tecnología de la información ha obligado a suspender la actividad y a mandar a casa a sus trabajadores ante las incertidumbres de seguridad.

El martes la compañía confirmaba que el ataque cibernético había obligado a paralizar la producción aunque no tienen constancia de que hayan robado datos de clientes. Sin embargo, la fabricación tuvo que frenarse en seco y reconocen que las ventas y las reparaciones se han visto también gravemente afectadas por la parálisis de sus sistemas informáticos.

Las plantas ubicadas en el Reino Unido de Solihull, Halewood, Wolverhampton y Castle Bromwich han dejado de operar, más allá de trabajos de mantenimiento. Además, los concesionarios no pueden realizar diagnósticos, pedir piezas ni registrar coches, ya que todo el sistema central está fuera de servicio desde el martes.

La compañía, perteneciente a la india Tata Motors, fabrica unos mil automóviles diarios en el Reino Unido donde emplea a unos 32.000 trabajadores. Los aranceles al sector instaurados por Estados Unidos han situado a Jaguar Land Rover en una difícil situación que se ve agravada ahora por este incidente y una caída importante de ventas en los primeros trimestres del año. De hecho, recientemente puso en marcha un plan de despido voluntario que posibilitaba la jubilación anticipada de hasta 200 empleados de su fábrica de Halewood, en Merseyside, donde fabrica los modelos Range Rover Evoque y Discovery Sport.

Estos recortes pueden afectar hasta a medio millar de puestos directivos en suelo británico. La compañía de coches de lujo está inmersa en unproceso de transición, por el que deja de fabricar sus antiguos modelos de combustión interna para priorizar otros eléctricos con una nueva imagen y logo.

Hasta el momento no se conoce cuándo podrán reiniciar la producción mientras se investigan las causas y los responsables de este ataque. El incidente se inició a inicios de esta semana cuando aparecieron en grupos de Telegram capturas de pantalla con datos internos del sistema tecnológico de la compañía. No es el primer incidente que acusa este año el fabricante automovilístico, que en marzo ya tuvo que hacer frente a un ciberataque.

Los responsables se vinculan a otras operaciones similares contra empresas británicas. Mark&Spencer, Harrods y Co-op han experimentando ataques cibernéticos durante el presente año. En abril, la marca de ropa M&S sufrió un hackeo que le obligó a cerrar la tienda online durante más de seis semanas por un ataque de ransomware, al igual que le ocurrió a la cadena de supermercados Co-op en similares fechas.

Ciberseguridad

La autoría no está clara aunque son varios los grupos que se han otorgado el ataque. La vinculación de estos incidentes con el grupo de ciberamenazas Scattered Spider parece evidente. El Instituto Nacional de Ciberseguridad español (Incibe) ya publicó hace dos semanas la intensificación de sus campañas digitales contra entornos coporativos usando VMware vSphere, una tecnología ampliamente adoptada para la virtualización de servidores.

Según recoge la web del organismo español, este colectivo, también identificado como UNC3944 o Muddled Libra por distintas firmas de ciberseguridad, ha mostrado una evolución notable en sus tácticas. Su actividad más reciente apunta específicamente a comprometer hipervisores VMware ESXi, una pieza crítica en muchas infraestructuras empresariales, con el objetivo de lanzar ataques de ransomware a través de máquinas virtuales alojadas en estos sistemas.

A diferencia de campañas anteriores, Scattered Spider evita cifrar sistemas físicos y se centra en el entorno virtual, lo que les permite maximizar el impacto operativo de sus acciones maliciosas. Para lograr el acceso inicial, utilizan una combinación de ingeniería social avanzada, phishing dirigido y, en muchos casos, suplantación de empleados para obtener credenciales legítimas. Una vez dentro, aprovechan herramientas de administración remota y scripts personalizados para moverse lateralmente por la red y comprometer los sistemas virtualizados.

Según los análisis recientes, esta campaña representa una amenaza significativa para organizaciones que dependen de entornos virtuales, ya que comprometer los hipervisores puede afectar múltiples sistemas y servicios de forma simultánea. Además, el uso de credenciales legítimas y herramientas estándar dificulta la detección por parte de los sistemas tradicionales de defensa.