A finales de agosto de 2025, Jaguar-Land Rover (JLR) detectó un grave incidente. La empresa confirmó públicamente el ciberataque el 2 de septiembre de 2025.
Se trata de un ataque híbrido: por un lado, se identificaron interrupciones severas en los sistemas TI y de operaciones o tecnología operativa (TO), con cierres de plantas proactivos para contener la incidencia; por otro lado, robo/exfiltración de datos ha sido confirmado después de las investigaciones iniciales.
No está confirmado públicamente que se haya usado un ransomware que cifra todos los sistemas, aunque algunos informes atribuyen a los atacantes haber intentado extorsionar, y que podría haber demandas de rescate. También se especula el robo de código fuente el cual representaría la exposición irreversible de la propiedad intelectual del grupo.
Se atribuye el ataque al colectivo que varios medios llaman “Scattered Lapsus$ Hunters”, una combinación o rebranding de los grupos Scattered Spider, Lapsus$, y ShinyHunters. Es la segunda ocasión que Scattered Spider logra atacar los sistemas de Land Rover tan solo en 2025. según declara el Wall Street Journal.
En el último año, los ataques cibernéticos dirigidos a sistemas de control industrial (OT/ICS) han crecido un 87%, según el Year in Review de Dragos. Este crecimiento confirma que ya no estamos hablando sólo de proteger datos digitales, sino de defender instalaciones físicas, líneas de producción, fábricas enteras.
El reciente ciberataque a Jaguar Land Rover (JLR) es una evidencia clara de cómo las vulnerabilidades digitales se traducen directamente en disrupciones físicas, pérdidas millonarias y riesgo estratégico real, que ahora te explico.
El impacto operativo ha logrado el paro de plantas, cadena de suministro y miles de empleados, mientras que el económico se estima ya en los $100M USD.
Las plantas de Halewood, Solihull y la planta de motores en Wolverhampton todas en Inglaterra, así como su planta de Eslovaquia fueron cerradas tras la detección de la intrusión. Se les pidió a 33,000 trabajadores que se quedaran en casa mientras se investigaba y contenía el ataque.Toda la cadena de suministro se vio afectada: proveedores de partes, concesionarios, ventas y servicio postventa quedaron interrumpidos por la falta de acceso a sistemas críticos y por la paralización de producción.Las estimaciones de pérdidas a la fecha varían según la fuente, desde los US$6.8 millones por día, hasta 100 millones para JLR. Cada día de paro no solo implica costos directos de producción detenida, sino también riesgos de multas, quiebras de proveedores, impactos reputacionales y nulidad en los compromisos de entrega.Se estima que la empresa tiene un inventario global de más de 100 días, por lo que no existe el riesgo inminente de falta de suministro, sin embargo el costo total y las pérdidas por este ataque todavía son un número creciente.
JLR ha extendido el cierre de producción hasta al menos el 24 de septiembre de 2025 para plantas en Reino Unido, y hasta ahora no se ha anunciado una fecha definitiva de recuperación total; se desconoce cuándo todas las plantas, concesionarios y servicios volverán a operar a su capacidad anterior.
Los sistemas vulnerados incluyen no solo servidores TI, sino sistemas de registro de vehículos, logística, partes de suministro, concesionarios y operaciones de ventas y postventa. Esto amplifica el riesgo: si algo va mal en la restauración del ataque, puede haber fallos en calidad, seguridad o cumplimiento regulatorio.
¿Qué lección podemos aprender de este ataque?
- Las amenazas digitales ya tienen un efecto directo sobre la operación física de una empresa. No es solo pérdida de datos, sino pérdida de producto, de ingresos, de capacidad de cumplir con el mercado.
- La exposición no termina en las plantas: proveedores, distribuidores, empleados, clientes esperan y sufren cuando la cadena de suministro se quiebra.
- La reputación corporativa sufre cuando los clientes ven retrasos, entregas canceladas, y no hay claridad sobre la seguridad de sus datos personales o su vehículo.
El caso de Jaguar Land Rover no es “uno más”: es un llamado para que los empresarios entiendan que la ciberseguridad industrial ya está entre los riesgos existenciales de la estrategia corporativa.
Hoy un buen manual de supervivencia para ataques industriales diría:
- Protejan sus operaciones industriales con la misma seriedad que la protección financiera.
- Estén preparados para que llegue “un mal día”, con un plan de restablecimiento de operaciones y recuperación de desastres..
- Invierte hoy en prevención forense, en planes de recuperación, en formación del personal.
- No dejes que sea un ataque como este el que dicte tus plazos de producción.
CEO y Socio fundador de NEKT Group, e
