Barracuda full logo

El ransomware Qilin aumenta en 2026

Temas:
15 ene 2026
|
Christine Barry

Qilin entra en 2026 con un rápido crecimiento, una mayor agresividad y un riesgo creciente a medida que se intensifica el escrutinio.

Conclusiones

  • Qilin está acelerando, no frenando — ya ha causado 55 víctimas a principios de 2026, lo que lo sitúa por delante de su ritmo de 2025.
  • La selección de objetivos sin restricciones aumenta su perfil de riesgo, incluyendo organizaciones sanitarias y de servicios públicos, lo que incrementa las posibilidades de sufrir repercusiones catastróficas.
  • El crecimiento del grupo es frágil: la historia demuestra que los grupos de ransomware suelen desmoronarse tras ataques de gran impacto, y la agresiva estrategia de Qilin lo expone a un riesgo similar.

Cuando perfilé al grupo de ransomware Qilin en julio de 2025, no estaba claro si el grupo sobreviviría al año. En febrero, Qilin obtuvo acceso a un proveedor clave en el sistema de salud de Londres, lo que provocó más de 170 casos de daños a pacientes, incluidos dos casos de daño a largo plazo o permanente y la muerte de un paciente. Este nivel de perturbación conlleva un intenso escrutinio y un riesgo operativo real para un actor de amenazas. Por ejemplo,

  • Darkside sucumbió a una “presión no especificada” de los Estados Unidos tras el ataque a Colonial Pipeline.
  • ALPHV/BlackCat desapareció después del ataque a Change Healthcare , y aunque es ampliamente considerado como una estafa de salida, no se puede evitar preguntarse si el grupo estaba sintiendo la presión por retrasar el acceso a la medicación.
  • Black Basta cerró poco después de que uno de sus miembros atacara Ascension Health. Otros miembros de Black Basta expresaron su preocupación por este ataque:
    • GG: "El 100 % del FBI y CISA están obligados a involucrarse, y todo esto ha llevado a que tomen medidas drásticas contra Black Basta. … No nos libraremos de esto ahora y lo más probable es que el software termine en la basura,"
    • Tinker: “Si alguien, Dios no lo quiera, muere... nos echaremos los problemas encima – esto se clasificará como un ataque terrorista. … No quiero ir al infierno si un niño con un defecto cardíaco muere.”

No es inusual que grupos de alto perfil desaparezcan después de causar una gran perturbación en los recursos públicos, ya sea en el sector sanitario, de combustible u otro recurso crítico.

Qilin también creció rápidamente. Los afiliados que dejaron las operaciones de ransomware como servicio (RaaS) RansomHub y LockBit aportaron experiencia e impulso que fortalecieron al grupo. Eso fue un buen impulso para Qilin, pero estos no eran afiliados leales. Ya habían demostrado que abandonarían una operación de RaaS ante cualquier indicio de inestabilidad. Así que en julio de 2025, había dudas sobre si Qilin seguiría siendo una amenaza relevante durante el resto del año. Pero vaya, ese grupo está prosperando.

Qilin afirmó haber causado más de 1,000 víctimas en su sitio web de filtraciones en 2025, listadas a un ritmo de con una tasa de más de 40 víctimas al mes en la segunda mitad del año. El sector industrial fue el más atacado, representando alrededor del 23% de todas las listas de Qilin. El grupo afirma haber robado 31.2 petabytes de sus víctimas, la mayor parte de los cuales procedían de un fabricante. Estas afirmaciones no han sido verificadas.

El grupo no muestra signos de desaceleración. Apenas llevamos un par de semanas en 2026 y Qilin ya ha publicado 55 víctimas en su sitio web de filtraciones. Estas son afirmaciones no verificadas, aunque algunas de las publicaciones tienen muestras de datos (supuestamente) robados. Esto pone a Qilin en camino de superar sus cifras récord de 2025.

Qilin es un grupo maduro con una plataforma sofisticada, y ha demostrado que puede adaptarse a los cambios en el panorama de amenazas y las defensas de la industria. Probablemente seguirán siendo un actor destacado en ransomware durante la primera mitad del año. Sin embargo, cualquier grupo puede colapsar bajo las condiciones adecuadas. Por ejemplo,  

  • Las divisiones internas llevan a filtraciones o a la exposición ante las fuerzas del orden.
  • Los ataques de alto perfil atraen demasiada atención para que el grupo continúe.
  • Perturbaciones importantes y sostenidas en la infraestructura pueden obligar a los afiliados a dispersarse

Qilin y sus afiliados no se limitan a evitar a los proveedores de atención médica, los servicios municipales, las infraestructuras o cualquier otra entidad que apoye la salud pública y el bienestar. Esos son los ataques que atraen más atención no deseada, y solo se necesita un único ataque bien dirigido para interrumpir los servicios de toda una región o grupo demográfico. Y dado que ningún sector está a salvo de Qilin, el grupo sigue siendo su peor enemigo.

 

Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
Threat Spotlight: Tycoon 2FA didn’t die — it’s scattered everywhere
Threat Spotlight: Tycoon 2FA didn’t die — it’s scattered everywhere
 Informe de Google: Más vulnerabilidades de día cero que afectan a las empresas
Informe de Google: Más vulnerabilidades de día cero que afectan a las empresas
 El ataque a Notepad++ y los nuevos riesgos en la cadena de suministro
El ataque a Notepad++ y los nuevos riesgos en la cadena de suministro
 Sandworm: La brigada rusa que destruye infraestructuras a nivel global
Sandworm: La brigada rusa que destruye infraestructuras a nivel global
Busque en el blog

Informe sobre brechas de seguridad del correo electrónico 2025

Principales hallazgos sobre la experiencia y el impacto de las brechas de seguridad del correo electrónico en organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Informe sobre perspectivas de clientes MSP 2025 

Una perspectiva global sobre lo que las organizaciones necesitan y desean de sus proveedores de servicios gestionados de ciberseguridad.

Obtener el informe

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.