Marks & Spencer ha puesto cifras al coste operativo de un ciberataque en retail. El grupo británico cerró su ejercicio 2025/26 con un beneficio ajustado antes de impuestos de 671,4 millones de libras, un 24% menos que los 881,1 millones registrados el año anterior, tras una interrupción que afectó de lleno a su canal online, a la disponibilidad de producto y a los márgenes.
La compañía atribuye al incidente unos costes relacionados de 131,3 millones de libras. El ataque obligó a suspender los pedidos online de moda durante siete semanas y los servicios de click and collect durante casi cuatro, además de generar problemas de disponibilidad en tiendas de alimentación, moda y hogar, mayores costes logísticos y más desperdicio.
La caída no fue sólo digital
El caso de M&S muestra que un incidente tecnológico en un retailer omnicanal no se queda en la web. La interrupción del e-commerce afectó a ventas directas, pero también a procesos internos de stock, reposición, atención al cliente y costes de operación. En moda, hogar y belleza, las ventas cayeron un 7,7%, mientras que alimentación logró crecer un 7,0% y ganar cuota, aunque también sufrió problemas por disponibilidad y desperdicio.
El golpe llega en un momento en el que M&S había recuperado tracción comercial y margen tras años de reestructuración. Por eso el dato es una llamada para todo el sector: la ciberseguridad es parte esencial de la continuidad del negocio, con impacto directo en ventas, margen bruto, servicio y confianza del cliente.
La tienda depende de sistemas conectados
El retail actual opera sobre una red de sistemas cada vez más interdependientes. El pedido online, la preparación en tienda, el inventario en tiempo real, los pagos, las devoluciones, los programas de fidelización y la planificación logística forman parte de una misma arquitectura. Cuando uno de esos puntos se bloquea, el efecto se extiende con rapidez.
En M&S, la suspensión de pedidos online durante semanas redujo la capacidad de vender producto de temporada, aumentó la presión sobre los markdowns y alteró la gestión de stock. En alimentación, donde la rotación y la frescura son críticas, cualquier fallo en previsión o reposición puede traducirse en más merma? y menor disponibilidad.
Por tanto, los retailers deben tener en cuenta que la resiliencia digital debe medirse con indicadores operativos, no sólo con métricas de seguridad. Tiempo de recuperación, capacidad de operar en modo degradado, visibilidad de inventario, dependencia de terceros y protocolos de comunicación con clientes y equipos son ya parte de la cuenta de resultados.
Un riesgo de consejo de administración
El ataque también refuerza el papel de la ciberseguridad como asunto de gobierno corporativo. En un negocio con alta exposición a datos de clientes, pagos, proveedores y operaciones en tiempo real, la protección de sistemas no puede quedar aislada en los departamentos tecnológicos.
La respuesta de M&S se apoya ahora en recuperar disponibilidad, servicio y crecimiento. La compañía sostiene que entra en el ejercicio 2026/27 con un balance sólido y espera retomar el crecimiento del beneficio frente a 2024/25.
Aun así, el mercado ya es consciente del riesgo: las acciones de M&S acumulan una caída reciente y el grupo reconoce un entorno de presión por costes de combustible, transporte, insumos, fiscalidad y regulación.
Así, la combinación de ataque digital y costes estructurales deja una conclusión para la industria del retail: Cuando los márgenes ya están presionados, un incidente de varias semanas puede borrar parte del avance logrado en eficiencia, compras, surtido o fidelización.
La nueva resiliencia omnicanal
El caso M&S llega tras una oleada de incidentes que han afectado a grandes empresas británicas, con el retail entre los sectores más expuestos por volumen de transacciones, complejidad operativa y dependencia de proveedores tecnológicos. El Centro Nacional de Ciberseguridad del Reino Unido ya había recomendado reforzar prácticas básicas como autenticación en dos pasos, gestión de accesos, copias de seguridad y planes frente a malware y ransomware.
Pero la prioridad para el retail va más allá de evitar el ataque. La cuestión es cómo seguir vendiendo, atendiendo y reponiendo cuando una parte del sistema deja de funcionar. Esto implica ensayar escenarios de caída, limitar la dependencia de procesos automáticos, revisar contratos con terceros, proteger datos críticos y formar a equipos de tienda y central para operar bajo contingencia.
En un modelo omnicanal, la promesa al cliente depende de la coordinación entre canales. Si el consumidor no puede comprar online, recoger en tienda, consultar disponibilidad o devolver con normalidad, el daño reputacional se suma al impacto financiero. La confianza, una vez afectada, tarda más en recuperarse que una plataforma.
Una factura para toda la industria
M&S no es un caso aislado, pero sí ofrece una medida concreta del riesgo. Los 131,3 millones de libras de costes asociados y la caída del 24% en el beneficio ajustado antes de impuestos convierten el ciberataque en una variable material para el negocio retail.
La ciberseguridad ya compite con inversiones en tiendas, logística, datos, personalización y retail media?. No como un proyecto defensivo, sino como una condición para que todo lo demás funcione. En el retail omnicanal, proteger los sistemas equivale a proteger la venta, el margen y la relación con el cliente.
impulsada por las operadoras de telefonía?