El ransomware Qilin, detectado por primera vez en julio de 2022, se ha consolidado como una amenaza global, afectando a más de 500 organizaciones, especialmente en sectores como salud, manufactura, legal y financiero. Según el reciente informe AIA25-00007 del CSIRT Nacional de la Agencia Nacional de Ciberseguridad (ANCI), esta ciberamenaza ha llegado al ciberespacio latinoamericano, incluyendo campañas en Norteamérica, Europa y Asia Pacífico.
Desarrollado en lenguajes como Golang y Rust, Qilin opera bajo el modelo Ransomware-as-a-Service (RaaS), utilizando tácticas de doble extorsión: encripta datos y amenaza con publicarlos si no se paga el rescate. Los archivos afectados adoptan extensiones con un ID único por empresa y una nota de rescate titulada “README-RECOVER-.txt”. Su compatibilidad con Linux y capacidad para propagarse a hipervisores lo hacen especialmente peligroso para entornos OT/ICS, como se vio en el caso Synnovis, donde procesos clínicos fueron comprometidos.
Los atacantes aprovechan vulnerabilidades en conexiones remotas (RDP, SSH, VPN) y credenciales robadas para infiltrarse. La ANCI ha identificado indicadores de compromiso (IOC) clave, como la IP atacante 5.61.62.32 y tácticas MITRE ATT&CK como T1078.002 (uso de cuentas de dominio válidas) y T1133 (explotación de servicios remotos).
Recomendaciones para protegerse
Para mitigar el riesgo, las organizaciones deben:
- Implementar autenticación multifactor (MFA) y filtros geográficos en conexiones remotas.
- Restringir la instalación de aplicaciones y extensiones en equipos laborales.
- Mantener respaldos inmutables y fuera de línea, con pruebas mensuales de restauración.
- Segmentar redes internas y limitar protocolos sensibles como SMB, RDP y SSH.
La ciberseguridad es una prioridad en 2025. Adoptar estas medidas puede marcar la diferencia ante amenazas como Qilin, que sigue evolucionando y expandiendo su alcance global.
