El 5 de enero de 2026, el fabricante británico de automóviles Jaguar Land Rover dio a conocer sus cifras preliminares del tercer trimestre del ejercicio 2026. Estos resultados confirman la magnitud de la conmoción causada por el ciberataque de septiembre de 2025: los volúmenes de ventas al por mayor se desplomaron un 43,3%, mientras que las ventas al por menor cayeron un 25,1%. Una catástrofe industrial y económica cuyas repercusiones aún se dejan sentir varios meses después del ataque.
De la actividad sospechosa al cierre total
Todo empezó el 31 de agosto de 2025. Los responsables de la planta de Halewood, en el Reino Unido, observaron un comportamiento anormal en ciertos sistemas informáticos. Al día siguiente, los equipos informáticos de Jaguar Land Rover (JLR) detectaron una intrusión en su red. El compromiso era lo suficientemente grave como para que el fabricante tomara una decisión radical: cerrar masivamente sus sistemas informáticos para contener la propagación.
El 2 de septiembre, el grupo emitió su primer comunicado oficial: «JLR se ha visto afectada por un incidente cibernético. Hemos tomado medidas inmediatas para mitigar su impacto mediante el cierre proactivo de nuestros sistemas. Por el momento, no hay pruebas de que se hayan robado datos de clientes, pero nuestras operaciones de venta y producción se han visto gravemente perturbadas.»
El efecto inmediato de esta medida de protección es laparalización total de la producción en todas las plantas del fabricante, ya sea en el Reino Unido, Eslovaquia, China o la India. En circunstancias normales, Jaguar Land Rover produce más de 1.000 vehículos al día. Ahora todas las líneas están paradas.
Cuando una semana de parada se convierte en seis semanas
En los primeros días, aún había esperanzas de una rápida recuperación. El fabricante afirmaba estar trabajando «a un ritmo sostenido para reiniciar nuestras aplicaciones globales de forma controlada». Pero la realidad resultó ser mucho más compleja.
El 10 de septiembre, ocho días después de que se descubriera el ataque, Jaguar Land Rover confirmó que los atacantes también habían robado datos: «Como resultado de nuestra investigación en curso, ahora creemos que algunos datos se han visto afectados y estamos informando a las autoridades pertinentes.» La empresa añadió que su investigación forense continuaba y que se pondría en contacto con los afectados si fuera necesario.
El 16 de septiembre se hizo un nuevo anuncio: la producción no se reanudaría hasta al menos el 24 de septiembre. «Hemos tomado esta decisión mientras continúa nuestra investigación forense sobre el incidente cibernético, y mientras consideramos las diversas etapas del reinicio controlado de nuestras operaciones globales, lo que llevará tiempo», explicó el grupo. Por el momento, ya se han perdido tres semanas y media de producción. Fuentes del sector sugieren que la interrupción podría prolongarse hasta noviembre.
Ante la magnitud de la crisis y su impacto en la cadena de suministro del Reino Unido, el Gobierno británico intervino el 28 de septiembre, aprobando una garantía de préstamo de 1.500 millones de libras para ayudar al fabricante a restablecer su cadena de suministro y reiniciar la producción.
La producción se reanudó finalmente el 8 de octubre de 2025, siguiendo un planteamiento gradual y controlado. Pero habrá que esperar hasta mediados de noviembre para que la empresa vuelva a los niveles normales de producción. Mientras tanto, también se ralentizó considerablemente la distribución de los vehículos ya producidos antes del atentado. El resultado: más de seis semanas de producción perdidas.
Cazadores de lapsus$ dispersos: reivindicación de la autoría
Poco después del ataque, un grupo de ciberdelincuentes autodenominado «Sc attered Lapsus$ Hunters » reivindicó la autoría del incidente en Telegram. El grupo afirma ser una colaboración de delincuentes asociados con Lapsus$, Scattered Spider y ShinyHunters, tres grupos de habla inglesa conocidos por sus tácticas de ingeniería social y extorsión. Los atacantes publicaron capturas de pantalla de un sistema SAP interno de Jaguar Land Rover y afirmaron haber desplegado también ransomware en los sistemas comprometidos. El mismo grupo es también responsable de una oleada masiva de ataques contra instancias de Salesforce, que han comprometido datos de varias empresas líderes, como Google, Cloudflare, Palo Alto Networks y muchas otras.
Ni Jaguar Land Rover ni su empresa matriz, Tata Motors, han confirmado oficialmente la atribución del ataque a este grupo. Tampoco se han dado detalles sobre la naturaleza exacta del malware utilizado.
El Reino Unido ya se vio muy afectado por los ataques de ransomware en 2025
El ataque a JLR llega en un momento difícil para la economía del Reino Unido en 2025. El país ya ha sufrido varios ciberataques importantes este año, entre ellos contra Marks & Spencer (pérdidas de unos 300 millones de libras tras un cierre de dos meses de sus servicios en línea en abril) y Co-op, también reivindicados por Dragonforce.
196 millones para Jaguar Land Rover, 1.900 millones para el Reino Unido
En sus resultados financieros publicados en noviembre de 2025, el fabricante reveló que el ataque le costó 196 millones de libras en el segundo trimestre de su año fiscal. La empresa registró una pérdida antes de impuestos de 485 millones de libras en el trimestre julio-septiembre de 2025, frente a un beneficio de 398 millones de libras en el mismo periodo del año anterior.
«Esta disminución de la rentabilidad se debe en gran medida al incidente cibernético, al impacto continuado de los aranceles estadounidenses, a la reducción de volúmenes mencionada anteriormente y al aumento del gasto variable en marketing», señala el comunicado del grupo.
Las cifras del tercer trimestre fiscal de 2026 , publicadas el 5 de enero de 2026, confirman la gravedad de la situación. Las ventas al por mayor se redujeron a 59.200 vehículos, un 43,3% interanual menos. Las ventas al por menor cayeron un 25,1%, hasta 79.600 unidades. Todas las regiones se vieron afectadas: Norteamérica cayó un 64,4%, Europa un 47,6% y China un 46%. Sólo el Reino Unido limitó la caída al 0,9%.
«Debido a este incidente y al tiempo necesario para distribuir los vehículos en todo el mundo una vez producidos, los volúmenes al por mayor y al por menor han disminuido trimestral y anualmente», explica Jaguar Land Rover. El grupo señala que la producción no volvió a los niveles normales hasta mediados de noviembre, y que entonces se necesitó un tiempo adicional para hacer llegar los vehículos a los mercados mundiales.
Pero el impacto va mucho más allá del perímetro del fabricante. El Cyber Monitoring Centre (CMC), organismo británico de vigilancia de las ciberamenazas, calcula que el incidente causó un impacto financiero de 1.900 millones de libras a la economía británica y afectó a más de 5.000 empresas en el Reino Unido. El incidente está clasificado como de Categoría 3, lo que corresponde a una pérdida financiera de entre 1.000 y 5.000 millones de libras para las operaciones en el Reino Unido de las organizaciones afectadas. Se trata del ciberataque más costoso de la historia del Reino Unido.
El Banco de Inglaterra también ha citado el ciberataque a Jaguar Land Rover como uno de los factores clave que han contribuido a un crecimiento del PIB británico inferior al previsto en el tercer trimestre de 2025. En su Informe de Política Monetaria de noviembre de 2025, la institución señaló que la paralización de la producción en JLR contribuyó directamente a una contracción del PIB de 0,17 puntos porcentuales en septiembre, ayudando a inclinar la economía hacia la contracción.
Cuando 5.000 empresas pagan el precio de un atentado
El repentino cese de la producción de Jaguar Land Rover conmocionó a toda la cadena de suministro de la industria automovilística británica. El fabricante, que emplea a más de 39.000 personas y genera unas ventas anuales de más de 38.000 millones de dólares, produce normalmente más de 400.000 vehículos al año.
Según el Cyber Monitoring Centre, más de 5.000 organizaciones británicas se vieron afectadas por la interrupción de la producción. Entre ellas hay proveedores de piezas de automóviles de primer, segundo y tercer nivel, empresas de logística, proveedores de servicios y concesionarios. Muchas de estas empresas son PYME financieramente frágiles que no disponen de los recursos necesarios para soportar una parada prolongada.
Jason Richards, responsable regional de Unite en la región de West Midlands, declaró a la BBC : «Ya estamos viendo cómo las empresas mantienen conversaciones sobre posibles despidos. La gente tiene que pagar el alquiler, la hipoteca, y si no cobran, ¿qué se supone que van a hacer? Tenemos que tener una cadena de suministro para Jaguar Land Rover. No me canso de repetirlo, porque si JLR abre las compuertas esperando que la cadena de suministro esté ahí esperando, no estará».
El sindicato Unite ha pedido un plan de jornada reducida financiado por el Gobierno para ayudar a pagar los salarios de los trabajadores del sector que no puedan trabajar debido al cierre.
El caso de Evtec Group: un proveedor muy afectado
El impacto en los proveedores no es teórico. Evtec Group, un importante fabricante de equipos con sede en Coventry, tuvo que poner a 900 empleados en régimen de jornada reducida con un salario del 80% mientras duró el cierre. La empresa ha estimado sus pérdidas en 13 millones de libras. Según su presidente, David Roberts, sin las medidas de emergencia del Gobierno, muchos proveedores habrían quebrado. Sin embargo, quiso señalar la situación real: «No debemos olvidar quién tiene la culpa aquí. Todo esto es culpa de los delincuentes. JLR es la víctima. Debemos recordar quién empezó esto, y no fue JLR».
Según el Cyber Monitoring Centre, la recuperación total no se alcanzará hasta enero de 2026, más de cuatro meses después de la reanudación gradual de la producción. Algunos proveedores han advertido de que podrían enfrentarse a dificultades de liquidez de hasta seis meses como consecuencia del ataque.
Diciembre de 2025: se confirma el robo de datos de los empleados
Casi cuatro meses después del ataque, Jaguar Land Rover notifica a sus empleados actuales y antiguos que sus datos personales se han visto comprometidos. En un correo electrónico enviado al personal en diciembre de 2025, el fabricante explica que los datos afectados incluyen «información mantenida en el curso del empleo y cierta información requerida para administrar nóminas, beneficios y programas de personal para empleados y dependientes».
Los datos robados incluyen detalles bancarios, códigos fiscales, números de la Seguridad Social, información salarial, direcciones y otra información sensible. La empresa afirma que no hay pruebas de que los datos se hayan utilizado de forma malintencionada, pero advierte a los empleados de que estén atentos a los intentos de suplantación de identidad que podrían aprovecharse de la información.
El Grupo ha puesto en marcha una línea de ayuda y ofrece servicios de control de crédito e identidad a los afectados. El incidente afecta a 38.000 empleados actuales y antiguos del fabricante, así como a subcontratistas.
Más allá del ciberataque: múltiples retos
Aunque el impacto del ciberataque es innegable, Jaguar Land Rover también se enfrenta a otros retos que han amplificado la caída de las ventas en el tercer trimestre. La empresa ha declarado que «el cese progresivo de la producción de los modelos Jaguar más antiguos antes del lanzamiento del nuevo Jaguar» ha contribuido a la caída de los volúmenes. El grupo prosigue su estrategia de transformación de la marca Jaguar hacia una gama 100% eléctrica, prevista para 2026.
Los aranceles estadounidenses que afectan a las exportaciones a EE.UU. también pesaron en los volúmenes. América del Norte registró la mayor caída de las ventas al por mayor, un 64,4%.
Lecciones de la crisis
El ataque a Jaguar Land Rover ilustra varias realidades de la ciberseguridad industrial. La interdependencia de las cadenas de suministro modernas crea vulnerabilidades sistémicas: un solo incidente en un gran fabricante puede paralizar miles de empresas. El coste real de un ciberataque va mucho más allá de las pérdidas directas de la empresa atacada, con repercusiones macroeconómicas cuantificables.
El caso también demuestra que el reinicio controlado de las operaciones tras un incidente grave puede llevar varias semanas o incluso meses. Incluso después de que la producción se reanudara a principios de octubre, se tardó hasta mediados de noviembre en volver a la normalidad, y aún más en reponer existencias y hacer entregas a los clientes. La tardía notificación del robo de datos de los empleados, cuatro meses después del ataque, también plantea dudas sobre los tiempos de la investigación forense y la comunicación con los afectados.
Medidas de protección esenciales
Frente a estos riesgos, las empresas deben asegurarse de que existen ciertos elementos fundamentales: segmentación de la red para limitar la propagación, autenticación multifactor en todos los accesos críticos, supervisión continua con capacidad de respuesta 24 horas al día, 7 días a la semana, y una sólida estrategia de copias de seguridad que incluya copias aisladas y comprobadas periódicamente. Los ejercicios de simulación sirven para comprobar que los planes de continuidad de la actividad funcionan realmente en una situación de crisis.
Reaccionar tras un ataque
El caso de Jaguar Land Rover nos recuerda que ninguna empresa es inmune a un ciberataque de graves consecuencias. Si su empresa sufre un ataque de ransomware, nuestro equipo de expertos en recuperación de datos puede intervenir rápidamente para evaluar la situación, identificar opciones técnicas de recuperación y limitar el impacto en su negocio.
Póngase en contacto con nosotros ahora para una respuesta de emergencia.
Fuentes :
- BleepingComputer: El volumen de ventas al por mayor de Jaguar Land Rover cae un 43% tras el ciberataque
- BleepingComputer: El gobierno británico respalda a JLR con una garantía de préstamo de 1.500 millones de libras tras el ciberataque
- BBC News: JLR podría sufrir interrupciones hasta noviembre tras el ciberataque
- BBC News: El proveedor de JLR reabre su fábrica tras el ciberataque
- BBC News: El ciberataque a JLR es el más costoso de la historia del Reino Unido, según los analistas
- The Register : JLR: datos de las nóminas robados en un ciberataque que sacudió la economía británica
- The Register : El Banco de Inglaterra afirma que el ciberataque a JLR contribuyó a la inesperada ralentización del crecimiento del PIB británico
- Reuters: El pirateo de Jaguar Land Rover costó a la economía británica unos 2.500 millones de dólares, según un informe
- Cyber Monitoring Centre: Declaración del Cyber Monitoring Centre sobre el ciberincidente de Jaguar Land Rover – Octubre de 2025
