El reciente informe financiero de Marks & Spencer (M&S) ha puesto cifras al ciberataque sufrido en abril: 136 millones de libras entre respuesta, recuperación y servicios legales. Una cantidad que por sí sola bastaría para alarmar a cualquier consejo de administración, pero que en realidad no refleja el coste total del incidente.
Más allá de los balances, el ataque ha supuesto una pérdida del 55 % en los beneficios, una caída del 43 % en las ventas online y un descenso del margen operativo del 12 % al 2,7 %. Los sistemas ya funcionan, sí, pero la economía de la empresa sigue en modo recuperación.
Y ahí reside la verdadera lección del caso M&S: el daño económico de un ciberataque no termina cuando se restablecen los servidores, sino cuando se restaura la confianza, la productividad y el ritmo normal de negocio.
La factura digital: entre lo visible y lo intangible
Del total de costes reconocidos, 83 millones de libras se destinaron a la respuesta técnica inmediata: limpieza de sistemas, restauración de datos, sustitución de equipos y procesos manuales para mantener las operaciones. Otros 53 millones se fueron en honorarios legales, comunicación y asesoramiento especializado.
Sin embargo, esos números solo cubren la parte visible del iceberg. En la sombra quedan los costes intangibles, que no siempre figuran en los informes financieros:
-
Horas de productividad perdidas durante semanas.
-
Ventas no realizadas por la paralización de la web.
-
Clientes que se marcharon a competidores más fiables.
-
Desgaste reputacional que afectará campañas futuras.
Cada uno de esos elementos representa un gasto real que ninguna póliza de ciberseguro cubre completamente, por muy generosa que sea (M&S espera recuperar hasta 100 millones de libras).
Cuando la recuperación cuesta más que la prevención
El caso M&S evidencia un patrón creciente: las empresas siguen subestimando el coste económico real de la ciberseguridad. Mientras las inversiones en prevención suelen considerarse un gasto prescindible, las facturas tras un ataque se convierten en una carga multimillonaria.
Según analistas del sector, los presupuestos en ciberdefensa aún se centran en el perímetro técnico (firewalls, antivirus, auditorías puntuales), pero descuidan la preparación organizativa: protocolos de respuesta, formación del personal y comunicación de crisis. Precisamente esos factores fueron los que más encarecieron la recuperación de M&S, que tuvo que recurrir a procesos manuales en tiendas y almacenes durante casi dos meses.
En otras palabras: el coste de no estar preparado se multiplica por diez cuando el ataque se materializa.
Un nuevo tipo de impacto económico
Lo ocurrido con Marks & Spencer marca un antes y un después en la percepción del riesgo digital dentro del comercio minorista. Ya no se trata solo de proteger los datos, sino de blindar la continuidad de negocio.
La interrupción del canal online —clave para la facturación postpandemia— redujo el ritmo de ventas justo en el trimestre de mayor actividad. Aunque los ingresos totales crecieron un 22 %, esa subida se debió principalmente al sector de alimentación, mientras la división de moda y hogar sufrió un desplome del 16,4 %.
El ataque no solo paralizó operaciones, sino que distorsionó la estructura de ingresos y obligó a reconfigurar la logística, los inventarios y las previsiones de stock. En definitiva, un ciberataque no solo roba datos: reordena el balance financiero de una compañía entera.
En el fondo, el caso M&S pone de relieve una idea que cada vez resuena más en los despachos de dirección: la ciberseguridad es economía pura. Un incidente digital puede tener el mismo impacto que una crisis de suministro o una sanción fiscal.
Y aunque las pérdidas directas ascienden a 136 millones, el coste real se medirá en los próximos trimestres, cuando se evalúe si los clientes vuelven a comprar con la misma frecuencia y si los accionistas mantienen su fe en la marca.
