Un ciberataque a Jaguar Land Rover está provocando un desastre en la cadena de suministro

Durante casi tres semanas, las líneas de producción del gigante automovilístico mundial Jaguar Land Rover han estado paralizadas. Habitualmente ocupadas con una producción estimada de 1.000 vehículos al día, se ha ordenado al personal de varias fábricas de JLR en Gran Bretaña que se quede en casa mientras la firma automotriz responde a un ciberataque perjudicial. Sin embargo, a medida que su recuperación se ha extendido de días a semanas, las repercusiones se están sintiendo en los cientos de empresas que suministran piezas y materiales a JLR, y se corre el riesgo de que el ataque se convierta en una crisis a gran escala.

El viernes, el gobierno del Reino Unido admitió que el ciberataque contra JLR estaba teniendo un "impacto significativo" en la empresa y en la "cadena de suministro automotriz en general". Esta concesión se produjo mientras sindicatos y funcionarios advirtieron cada vez más que miles de empleos en la extensa cadena de suministro de JLR podrían perderse, y algunas empresas más pequeñas podrían declararse en quiebra. Los informes afirman que la propia JLR podría estar perdiendo hasta 50 millones de libras esterlinas (67 millones de dólares) por semana durante el cierre. Según informes, algunas empresas ya han despedido personal, y el sindicato Unite afirma que los trabajadores de la cadena de suministro de JLR "están siendo despedidos con un salario reducido o nulo". A algunos se les ha pedido que "se afilien" a las prestaciones gubernamentales, afirma el sindicato.

“Parece inédito en el Reino Unido tener ese nivel de disrupción debido a un ciberataque o un ataque de ransomware”, afirma Jamie MacColl , investigador principal del grupo de investigación cibernética y tecnológica del centro de estudios de seguridad y defensa RUSI. Que miles de puestos de trabajo puedan verse en riesgo, ya sea temporal o permanentemente, es de una magnitud muy diferente a la de incidentes anteriores, añade MacColl.

JLR, propiedad de la empresa india Tata Motors, es uno de los mayores empleadores del Reino Unido, con alrededor de 32.800 empleados directos en el país. Las estadísticas publicadas en su sitio web también afirman que genera otros 104.000 empleos a través de su cadena de suministro en el Reino Unido y otros 62.900 empleos "mediante el gasto inducido por los salarios". Muchos otros proveedores también tienen su sede fuera del Reino Unido, así como algunas fábricas en el extranjero.

A principios de septiembre, JLR confirmó haber sido afectado por un ciberataque y que la compañía estaba tomando medidas inmediatas y cerrando proactivamente sus sistemas, paralizando así sus fábricas y procesos de producción. Mientras investigaba el ataque, la compañía reveló que algunos datos se habían visto afectados, pero no especificó cuáles.

A pesar de los esfuerzos por restablecer los sistemas, la compañía confirmó el miércoles que su pausa en la producción se ha extendido hasta el miércoles 24 de septiembre. "Hemos tomado esta decisión mientras continúa nuestra investigación forense del ciberincidente y mientras consideramos las diferentes etapas del reinicio controlado de nuestras operaciones globales, lo cual llevará tiempo", declaró JLR el miércoles. "Lamentamos mucho las continuas interrupciones que este incidente está causando y seguiremos informando a medida que avance la investigación".

JLR no respondió a las preguntas de WIRED sobre qué sistemas se vieron interrumpidos, el costo financiero del ciberataque para los proveedores ni ninguna medida que la compañía estuviera considerando para apoyar a las empresas.

Casi inmediatamente después del ciberataque, un grupo en Telegram llamado Scattered Lapsus$ Hunters se atribuyó la responsabilidad del ataque. El nombre del grupo implica una posible colaboración entre tres colectivos de hackers independientes —Scattered Spider , Lapsus$ y Shiny Hunters— que han estado detrás de algunos de los ciberataques más sonados de los últimos años. Suelen estar formados por jóvenes ciberdelincuentes angloparlantes que atacan a grandes empresas .

La fabricación de vehículos es un proceso enormemente complejo. Cientos de empresas diferentes suministran piezas, materiales, componentes electrónicos y más a los fabricantes de vehículos, y estas extensas cadenas de suministro a menudo se basan en la fabricación "justo a tiempo". Esto significa que solicitan piezas y servicios para que se entreguen en las cantidades específicas necesarias y exactamente cuando se necesitan; es poco probable que los fabricantes de automóviles tengan grandes reservas de piezas.

“Las redes de proveedores que abastecen a estas plantas de fabricación están configuradas para la eficiencia, tanto económica como logística”, afirma Siraj Ahmed Shaikh , profesor de seguridad de sistemas en la Universidad de Swansea. “Existe una cadena de suministro muy bien orquestada”, añade Shaikh, refiriéndose a la fabricación de automóviles en general. “Existe una dependencia crítica de los proveedores que abastecen a este tipo de operación. En cuanto se produce una interrupción en este tipo de instalaciones, todos los proveedores se ven afectados”.

Una empresa que fabrica techos solares de cristal ha comenzado a despedir trabajadores, según un informe del Telegraph . Mientras tanto, otra empresa informó a la BBC que ha despedido a unas 40 personas hasta el momento. La empresa francesa de automoción OPmobility , que emplea a 38.000 personas en 150 plantas, declaró a WIRED que está implementando algunos cambios y monitoreando la situación. "OPmobility está reconfigurando su producción en ciertas plantas como consecuencia del cierre de la producción por parte de uno de sus clientes con sede en el Reino Unido y en función de la evolución de la situación", declaró un portavoz de la empresa.

Si bien no está claro qué sistemas específicos de JLR se vieron afectados por los hackers ni qué sistemas desconectó JLR de forma proactiva, es probable que muchos se desconectaran para evitar que el ataque se agravara. "Es muy difícil garantizar la contención mientras se mantienen las conexiones entre varios sistemas", afirma Orla Cox , jefa de comunicaciones de ciberseguridad para EMEA en FTI Consulting, empresa que responde a ciberataques y trabaja en investigaciones. "A menudo, también existen dependencias entre diferentes sistemas: si uno se desconecta, esto implica un impacto en otro".

Siempre que se produce un ataque informático en cualquier parte de la cadena de suministro, ya sea un fabricante en la cima de la pirámide o una empresa más abajo en la cadena de suministro, las conexiones digitales entre empresas pueden cortarse para impedir que los atacantes se propaguen de una red a otra. Las conexiones mediante VPN o API pueden detenerse, afirma Cox. «Algunas incluso pueden tomar medidas más estrictas, como bloquear dominios y direcciones IP. En ese caso, servicios como el correo electrónico ya no son utilizables entre ambas organizaciones».

La complejidad de las cadenas de suministro digitales y físicas, que abarcan docenas de empresas y sistemas de producción justo a tiempo, implica que es probable que la recuperación de todo el sistema operativo y su plena capacidad de funcionamiento lleve tiempo. MacColl, investigador de RUSI, afirma que los problemas de ciberseguridad a menudo no se debaten en las altas esferas de la política británica, pero añade que esta vez podría ser diferente debido a la magnitud de la disrupción. «Este incidente tiene el potencial de repercutir debido a la pérdida de empleos y al hecho de que los diputados de las circunscripciones afectadas recibirán llamadas», afirma. Ese avance ya ha comenzado.

“Este ciberataque no es un simple destello en una pantalla; se está convirtiendo rápidamente en una onda expansiva cibernética que arrasa nuestros núcleos industriales”, declaró Liam Byrne, miembro del Parlamento y presidente del Comité de Negocios y Comercio de la Cámara de los Comunes, en X. “Si el gobierno se mantiene firme, esa onda expansiva destruirá empleos, empresas y salarios en toda Gran Bretaña”. Otros legisladores también han expresado su preocupación tras hablar con los proveedores de JLR afectados, y el sindicato Unite ha afirmado que el gobierno británico debería intervenir con un plan de permisos para apoyar a los trabajadores .

“El reciente incidente cibernético está teniendo un impacto significativo en Jaguar Land Rover y en la cadena de suministro automotriz en general”, declaró el viernes el Departamento de Negocios y Comercio del Reino Unido en un comunicado , tras una reunión con grupos de la industria automotriz. “El Gobierno, incluyendo expertos en ciberseguridad, está en contacto con la empresa para apoyar la tarea de restablecer las operaciones de producción y colabora estrechamente con JLR para comprender cualquier impacto en la cadena de suministro”.

Es probable que el ataque sea otro incidente que demuestra la fragilidad de las cadenas de suministro ante interrupciones. «Necesitamos una cadena de suministro y una operación más resilientes en ámbitos como la fabricación», afirma Shaikh, de la Universidad de Swansea.

Mientras tanto, MacColl afirma que, dado que la tensión global es alta —y varios países toman medidas para asegurarse de estar preparados para la guerra— , el ataque indica cómo la producción puede verse obligada a detenerse por completo. "Si este es el único efecto que los delincuentes pueden tener en nuestras cadenas de suministro, entonces es bastante preocupante pensar en nuestra falta de preparación para, por ejemplo, un ataque más coordinado y sostenido por parte de un posible adversario estatal", afirma MacColl.