Saltar al contenido
Suscribirse

Suscríbete a nuestro boletín

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias
Tecnología y Ciencia Ciberseguridad

Hackers rusos atacaron Jaguar Land Rover en 2025: el ciberataque que costó $2,500 mdd y paralizó al Reino Unido

Investigadores vinculan a hackers rusos con el ciberataque a JLR de 2025, el más costoso en la historia del Reino Unido.

por Alejandro Castillo Leone
El 4 minutos de lectura
Hackers rusos atacaron Jaguar Land Rover en 2025: el ciberataque que costó $2,500 mdd y paralizó al Reino Unido

TL;DR:

  • El New York Times reveló que investigadores atribuyen el ataque ransomware a JLR, iniciado el 31 de agosto de 2025, a un grupo hacker ruso.
  • El incidente costó a la economía británica alrededor de $2,500 millones de dólares (£1,900 millones) y se convirtió en el ciberataque más costoso de la historia del Reino Unido.
  • Aún no está confirmado si los hackers actuaron bajo órdenes directas del Kremlin, de forma independiente, o con la aprobación tácita del gobierno ruso.

Diez meses después de que la producción de Jaguar Land Rover se detuviera en seco, la investigación tiene un nombre. El New York Times publicó hoy un reporte — con base en fuentes cercanas a la pesquisa — que señala a un grupo hacker ruso como el autor del ciberataque que comenzó el 31 de agosto de 2025 y que terminó siendo el más costoso de la historia cibernética del Reino Unido.

La pregunta que ninguna fuente puede responder todavía: si los hackers actuaron bajo órdenes directas del presidente Vladimir Putin, si son criminales que operan por su cuenta, o si se mueven en esa zona intermedia que los analistas llaman la "zona gris" — con conocimiento tácito del Estado, sin cadena de mando formal.

El ataque que paró las fábricas y raspó el PIB

El 1 de septiembre de 2025, empleados de las plantas de JLR recibieron instrucciones de quedarse en casa. Las líneas de ensamblaje en el Reino Unido, Brasil, China, India y Eslovaquia habían dejado de funcionar. La causa: un ciberataque que ya llevaba horas dentro de los sistemas de la automotriz — una de las mayores empleadoras del país, propiedad del conglomerado indio Tata Motors.

No fue código sofisticado ni una vulnerabilidad de día cero. Los atacantes comenzaron semanas antes con una campaña de vishing — llamadas de voz que suplantaban a personal interno de JLR — para engañar a empleados y arrancarles sus credenciales de acceso. Algunos de esos datos incluían privilegios de administrador. Con eso bastó: entraron por los flujos normales de autenticación, se desplazaron lateralmente por la red y desplegaron ransomware en los sistemas de producción y ERP de la empresa.

La recuperación tardó casi seis semanas. El costo para la compañía rondaba las £50 millones por semana en producción perdida. En total, el UK Cyber Monitoring Centre estimó el daño a la economía en £1,900 millones (unos $2,500 millones de dólares), con más de 5,000 organizaciones de la cadena de suministro afectadas. El Centro catalogó el incidente como un evento sistémico de categoría 3 — su nivel más alto —, por encima incluso del impacto que dejó WannaCry en 2017.

El Banco de Inglaterra lo anotó en su reporte de noviembre de 2025: el crecimiento del PIB fue de apenas un 0.2%, por debajo de lo proyectado. La automotriz más grande del país compartió responsabilidad de ese retroceso con los efectos de la guerra arancelaria con Estados Unidos.

La respuesta del gobierno fue inédita: un préstamo de emergencia de £1,500 millones para estabilizar la cadena de proveedores y proteger empleos.

red SUV near tent
Photo by Zakaria Zayane / Unsplash

La autoría que la investigación tardó diez meses en revelar

Durante meses, el crédito del ataque apuntaba en otra dirección. Un grupo que se hacía llamar Scattered Lapsus$ Hunters — aparente combinación de Scattered Spider, Lapsus$ y ShinyHunters — se atribuyó el golpe en Telegram a los pocos días de que estalló. Su historial hacía la afirmación plausible: mismas tácticas de ingeniería social, mismos blancos de alto perfil.

Esa narrativa no sobrevivió.

Según el Times, fue Microsoft quien primero alertó a JLR, apenas días después de la brecha, de que el verdadero responsable era un grupo ruso que la compañía tenía bajo seguimiento. Desde ahí, la investigación creció hasta involucrar al FBI, la Agencia Nacional del Crimen del RU (NCA), el Centro Nacional de Ciberseguridad (NCSC, parte del GCHQ), la unidad Mandiant de Google y Palo Alto Networks — una coalición de ese tamaño que, por sí sola, da la medida de la gravedad del caso.

Lo que ninguno de esos actores puede responder públicamente todavía es el grado de responsabilidad del Estado ruso. Las fuentes del Times reconocen la brecha: podría tratarse de criminales que actúan con Moscú mirando de reojo, sin que exista un hilo formal que los conecte al Kremlin.

"Han descubierto que la manera más efectiva no es confrontarnos directamente, sino vaciarnos lentamente desde adentro", dijo **Dan Jarvis**, ministro de seguridad del Reino Unido, en su discurso ante la conferencia CyberUK del NCSC en abril de 2026.

Dos intrusos distintos, la misma red

Hay un detalle que agrega capas a la historia: dentro de los sistemas de JLR no operaba un solo actor. El Times reporta que un hacker jordano conocido como "Rey" — integrante del grupo de ransomware HELLCAT — también penetró partes de la infraestructura de JLR de forma independiente y paralela al grupo ruso.

No es su primera aparición en este caso. En marzo de 2025, cinco meses antes del apagón principal, Rey había publicado en un foro de la dark web alrededor de 700 documentos internos de JLR — incluyendo registros de desarrollo y código fuente — obtenidos con credenciales robadas del sistema Jira de la empresa.

Dos operaciones distintas. Dos grupos sin relación entre sí. Ambos dentro del mismo blanco al mismo tiempo. El hallazgo confirma algo que los investigadores de seguridad llevan años señalando: los objetivos de alto valor acumulan intrusiones simultáneas de actores distintos, cada uno con sus propias motivaciones, ninguno al tanto del otro.

Sin acusación oficial, pero con el patrón claro

El Kremlin no ha reconocido participación alguna. El gobierno del primer ministro Keir Starmer tampoco ha emitido una acusación pública formal. La atribución que publica el Times descansa en fuentes anónimas, no en una declaración de ningún gobierno.

Pero el contexto geopolítico es difícil de ignorar. Desde la invasión a gran escala de Ucrania, los analistas han documentado una escalada en operaciones cibernéticas rusas contra infraestructura occidental: ataques de denegación de servicio en Europa, robo de credenciales contra blancos militares ucranianos, sabotajes físicos en distintos países. El ataque a JLR encaja en esa secuencia. Investigadores lo ven como posible respuesta al apoyo del RU a Ucrania.

Probar eso ante la comunidad internacional es otra conversación. Como señaló Ian Thornton-Trump, CISO de la firma de ciberseguridad Inversion6:

"La evidencia tiene que ser irrefutable cuando se contempla una respuesta de Estado a Estado."

Por ahora, lo único confirmado es la cifra. El ciberataque más caro de la historia del Reino Unido — el que dejó las fábricas vacías, sacudió el PIB y forzó un rescate de £1,500 millones — tiene, según el New York Times, un autor: Rusia. Si Londres decide actuar sobre esa atribución, la siguiente decisión ya no será técnica.

Fuentes: 1, 2, 3

Alejandro Castillo Leone imagen de perfil
por Alejandro Castillo Leone

Soy un amante del arte y la cultura. Desde el 2021 dirijo una web dedicada a la historia de mi país y he emprendido la misión de vivir para la cultura, alimentándome principalmente del ámbito Hispanoamericano.

Leer más de Tecnología y Ciencia