M&S confirma el robo de datos de clientes en ciberataque, aumentan las pérdidas

Marks & Spencer ha confirmado que datos personales de clientes —incluyendo números de teléfono, direcciones, fechas de nacimiento e historial de pedidos online— fueron robados en el reciente ciberataque. Aunque no se comprometieron datos de pago ni contraseñas, la empresa solicita a todos los usuarios del sitio web que restablezcan sus contraseñas como medida de precaución.
El ataque, ocurrido hace tres semanas, sigue causando interrupciones. Los pedidos online permanecen suspendidos, lo que genera pérdidas estimadas en £43 millones semanales, según analistas de Bank of America.
El CEO Stuart Machin aseguró que se está contactando con los clientes afectados y que están cooperando con expertos en ciberseguridad y autoridades. Aunque no hay pruebas de que los datos se hayan compartido, existe el riesgo de que puedan utilizarse en intentos de extorsión o fraudes de identidad.
Co-op, también afectado, planea reanudar sus servicios esta semana.

Microsoft corrige 72 vulnerabilidades en mayo, incluyendo cinco zero-days explotados

El Patch Tuesday de mayo 2025 de Microsoft resolvió 72 vulnerabilidades, incluyendo cinco fallos zero-day activamente explotados y dos divulgados públicamente.
Entre ellos, CVE-2025-30400 y CVE-2025-32701 permiten elevación local de privilegios a SYSTEM. Otros, como CVE-2025-30397, son vulnerabilidades de ejecución remota de código que afectan al motor de scripting de Edge e Internet Explorer.
Zero-days divulgados públicamente incluyen un fallo de suplantación en Microsoft Defender for Identity (CVE-2025-26685) y una ejecución remota de código en Visual Studio (CVE-2025-32702).
Además de Microsoft, Apple, Cisco, Fortinet, Google, Intel y SAP también publicaron actualizaciones críticas este mes. Se insta a todas las organizaciones a aplicar los parches de inmediato para evitar posibles explotaciones.

Ciberataque a Nucor detiene producción de acero en múltiples plantas

Nucor Corporation, el mayor productor de acero de EE. UU., ha revelado un incidente de ciberseguridad que obligó a desconectar parte de sus sistemas TI y suspendió temporalmente la producción en varias instalaciones.
La violación, informada en una presentación 8-K ante la SEC, involucró acceso no autorizado por parte de terceros.
Tras su detección, Nucor activó su plan de respuesta a incidentes, notificó a las autoridades y contrató expertos externos.
Con más de 32.000 empleados y $7.83 mil millones en ingresos en el primer trimestre de 2025, el impacto total aún no está claro, aunque algunas operaciones ya se están reanudando.
No se sabe si hubo robo o cifrado de datos, ni qué grupo está detrás del ataque.

Scattered Spider apunta al comercio minorista de EE. UU. tras ataques en Reino Unido

Google ha alertado que el grupo de amenazas Scattered Spider (UNC3944) está expandiendo sus operaciones de ransomware del Reino Unido a EE. UU.
Famosos por el uso de ingeniería social, SIM swapping y ataques MFA, el grupo fue responsable de los recientes ataques a M&S, Co-op y Harrods, desplegando ransomware DragonForce.
Según John Hultquist de Google, Scattered Spider tiende a enfocarse en sectores específicos, por lo que los minoristas estadounidenses deben estar alerta.
El NCSC del Reino Unido sigue investigando si estos ataques están coordinados.
Scattered Spider ya ha sido vinculado a ataques a MGM Resorts, Twilio, Coinbase y otros. Sus miembros suelen ser jóvenes de habla inglesa que operan en redes conectadas informalmente.

La UE lanza nueva base de datos de vulnerabilidades para fortalecer la ciberseguridad regional

ENISA ha lanzado la European Vulnerability Database (EUVD), una nueva plataforma centralizada para proporcionar información fiable sobre vulnerabilidades cibernéticas.
Diseñada para complementar el sistema CVE de MITRE, la base de datos ofrece información sobre estado de explotación, medidas de mitigación e inteligencia de amenazas relevante para Europa.
Obligatoria según la Directiva NIS2, la EUVD se desarrolló en colaboración con el programa CVE de MITRE y CSIRTs europeos.
La base se presenta como respuesta a la preocupación por la posible interrupción del CVE de MITRE debido a problemas de financiación.
Los expertos destacan que EUVD mejora la resiliencia, localización y reduce la dependencia de fuentes no europeas.

Pearson confirma ciberataque masivo que expone datos corporativos y de clientes

Pearson, el gigante educativo del Reino Unido, ha confirmado un ciberataque ocurrido en enero de 2025 que expuso datos de clientes e información corporativa interna.
El ataque comenzó con un token de acceso GitLab expuesto en un archivo público .git/config, que permitió a los atacantes acceder al entorno de desarrollo y código fuente.
Luego obtuvieron credenciales codificadas y accedieron a servicios en la nube como AWS, Google Cloud, Snowflake y Salesforce CRM.
Durante meses, se habrían exfiltrado terabytes de datos, incluyendo registros financieros, tickets de soporte y más.
Pearson calificó los datos como “en su mayoría antiguos” y no ha aclarado si notificará a los usuarios afectados ni si se pidió rescate.
La empresa ha reforzado su seguridad, involucrado expertos forenses y notificado a las autoridades.
El ataque sigue a una brecha similar en su subsidiaria PDRI y destaca el riesgo de configuraciones inseguras en entornos en la nube.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.