Victoria’s Secret, la reconocida marca global de lencería y moda, ha desactivado su sitio web de comercio electrónico en EE. UU. y limitado algunos servicios en tienda tras confirmar un incidente de ciberseguridad. Aunque aún no se conocen todos los detalles, la magnitud de la respuesta sugiere una posible violación de seguridad o ataque cibernético que ha afectado tanto su infraestructura digital como física.
En la noche del 28 de mayo de 2025, usuarios que intentaban ingresar al sitio web de Victoria’s Secret en EE. UU. se encontraron con una página en blanco o errores de carga. A la mañana siguiente, la empresa confirmó oficialmente que la interrupción fue consecuencia de un evento de seguridad, y que ya se encontraban en proceso de investigación.
“Hemos identificado y estamos tomando medidas para abordar un incidente de seguridad,” declaró la empresa. “Como precaución, algunos servicios en línea y en tienda están temporalmente fuera de servicio mientras continuamos el análisis.”
Impacto Técnico y Operativo
Aunque no se han publicado detalles técnicos, los indicios sugieren posibles compromisos en la infraestructura crítica, tales como:
- Servicios de alojamiento web o redes de distribución de contenido (CDN)
- Plataformas de pago y procesamiento de transacciones
- Sistemas de gestión de identidad y fidelidad del cliente
Además, se han reportado interrupciones intermitentes en tiendas físicas, incluyendo problemas con pagos, programas de lealtad y seguimiento de pedidos, lo que sugiere afectación en servicios de backend compartidos.
Contexto del Panorama de Amenazas
Este incidente se suma a un aumento significativo de ataques cibernéticos dirigidos al sector retail en el segundo trimestre de 2025, destacando:
- Campañas de ransomware-as-a-service (RaaS)
- Actividad de initial access brokers (IABs) que venden accesos a sistemas vulnerables
- Ataques de relleno de credenciales (credential stuffing) aprovechando contraseñas reutilizadas
Empresas como Victoria’s Secret manejan grandes volúmenes de información personal y financiera, convirtiéndose en blancos atractivos para grupos criminales organizados.
Posibles Escenarios en Evaluación
Expertos de seguridad especulan con diversos escenarios, entre ellos:
1. Ataque de Ransomware
Mediante phishing, VPNs mal configuradas o servicios en la nube expuestos, los atacantes podrían haber desplegado ransomware en los sistemas backend.
2. Compromiso de la Plataforma E-commerce
Una vulnerabilidad en pasarelas de pago, APIs o integraciones de front-end (como Magento o Shopify) podría explicar la caída del sitio web y los problemas en tiendas.
3. Ataque a la Cadena de Suministro Digital
Si un proveedor externo clave (gestión de inventario, fidelidad o pagos) fue vulnerado, Victoria’s Secret podría estar sufriendo los efectos indirectos.
Riesgos para Clientes y Stakeholders
Aunque aún no se confirma si hubo filtración de datos, los riesgos potenciales incluyen:
- Fraude financiero con tarjetas o credenciales robadas
- Toma de cuentas (ATO) mediante sesiones o cookies comprometidas
- Campañas de phishing que simulan ser soporte oficial
Se recomienda a los clientes monitorear sus cuentas bancarias, cambiar contraseñas reutilizadas, y desconfiar de correos sospechosos.
Respuesta de la Empresa
Victoria’s Secret ha tomado medidas que incluyen:
- Desactivación parcial de su infraestructura
- Contratación de forenses cibernéticos externos
- Notificación a las autoridades y preparación de reportes regulatorios si se confirma una violación de datos (CCPA, FTC, etc.)
Por ahora, no se ha indicado cuándo se restablecerán por completo los servicios.
Lecciones para la Comunidad de Ciberseguridad
1. El Retail Necesita una Seguridad Proporcional a su Riesgo
El sector moda y retail ha digitalizado sus operaciones más rápido de lo que ha fortalecido su ciberseguridad. Con apps móviles, pagos sin contacto y APIs interconectadas, el área de exposición es amplia y compleja.
2. Visibilidad de APIs y Servicios Terceros es Clave
Dependencias con proveedores de servicios en la nube y terceros requieren monitoreo continuo y políticas estrictas de gestión de riesgos.
3. Zero Trust Debe Ser la Norma
Sistemas backend y públicos deben operar bajo principios de mínima confianza, detección de anomalías y control de acceso automatizado.
El caso de Victoria’s Secret demuestra que ninguna marca está exenta de ciberamenazas, sin importar su tamaño o reputación. En un contexto donde el ransomware y los ataques de cadena de suministro son cada vez más sofisticados, el retail debe asumir que la ciberseguridad es una función crítica del negocio.
Este incidente debe motivar a los equipos de seguridad a revisar sus planes de respuesta a incidentes, reforzar sus controles sobre Helm charts y APIs, y adoptar herramientas avanzadas de protección en la nube.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.