Que el cibercrimen funciona como una industria no es ninguna novedad, y los grupos de ransomware son una clara muestra de ello: operan con niveles de organización, sofisticación y estructura similares a los de una empresa formal.

Qilin, grupo del tipo ransomware as a service (RaaS), es un ejemplo que ha ido incluso más allá al ofrecer asesoramiento legal a sus afiliados para que puedan mejorar la presión durante las negociaciones del pago del rescate con sus víctimas.

A continuación, ahondaremos en esta estrategia particular de Qilin y haremos un repaso sobre sus principales características, las metodologías de sus ataques y por qué es uno de los grupos más activos de los últimos años.

¿De qué se trata el asesoramiento legal del ransomware Qilin?

Los grupos de ransomware as a service pujan por convencer a sus afiliados con condiciones de contratación interesantes y lucrativas. En este contexto, el ransomware Qilin logró diferenciarse del resto al poner a disposición de los asociados un botón llamado “Call Lawyer”, mediante el cual pueden obtener asesoramiento legal.

¿El objetivo? Que sus socios tengan una orientación legal que les permita sacar una mayor ventaja en el pago del rescate en la negociación que tienen con sus víctimas.

De esta manera, brindan una ayuda profesional en temáticas técnicas, como la evaluación legal de los daños potenciales y la posibilidad de generar el mayor daño económico a la empresa, si es que se niega a cumplir con las exigencias expuestas.

En otras palabras, Qilin les brinda a sus afiliados una herramienta para llevar adelante negociaciones más profesionales y persuasivas, y así obtener más dinero del rescate.

Pero hay más: el grupo afirma que además cuenta con un equipo de periodistas, cuya finalidad es ayudar a los afiliados a redactar las publicaciones para sus blogs y las notas que envían a las víctimas a fin de ejercer mayor presión en las negociaciones de rescate.

qilin-ransomware-call-lawyer
Imagen 1. Anuncio de Qilin en el foro Ramp, destacando el asesoramiento legal. Fuente: Malware News.

Ransomware Qilin: principales características

Qilin es un grupo de ransomware as a service (RaaS) que registra actividad desde mediados de 2022, y gracias a ataques de alto impacto fue ganando terreno en la escena del cibercrimen. ¿Sus principales objetivos? Los sectores de salud, educación y finanzas, en países como Brasil, Colombia, Francia, Reino Unido y Estados Unidos, entre otros.

El grupo ofrece herramientas e infraestructura de ransomware a sus afiliados: a cambio, recibe entre el 15% y el 20% de los pagos que se obtienen de cada rescate.

En cuanto a las características técnicas, Qilin utiliza malware desarrollado en Rust y C para realizar ataques multiplataforma dirigidos a sistemas como Windows, Linux y ESXi. Para ello emplea loaders —programas diseñados para cargar y ejecutar malware— que incorporan mecanismos de evasión avanzados. Estos loaders facilitan el movimiento lateral dentro de las redes comprometidas y la eliminación de los registros, para ocultar cualquier evidencia y dificultar la detección y análisis.

¿Cuál es su principal vector de acceso? Los correos electrónicos de phishing, que contienen enlaces maliciosos para infiltrarse en la red. Tras el acceso inicial, este grupo suele moverse buscando datos esenciales para cifrar: en cada directorio, dejan una nota de rescate con instrucciones para comprar la clave de descifrado.

Al igual que otros grupos, luego utilizan la doble extorsión: más allá de cifrar los archivos de la víctima, los roba y amenaza con filtrarlos si no se paga el rescate.

La creciente actividad del ransomware Qilin

El grupo de ransomware Qilin comenzó a registrar actividad a partir de la mitad del 2022. Y a medida que fue pasando el tiempo, sus números comenzaron a crecer de manera sostenida. Al punto que se atribuyó más de 50 ataques, solo en la primera mitad de 2024.

Un dato que confirma su crecimiento: desde febrero de 2025 fue duplicando su actividad, llegando al punto máximo en abril, cuando Qilin se ubicó como el grupo de ransomware con mayor actividad, con más de 70 filtraciones de datos solo en ese mes.

Pero aún hay más, Qilin casi que duplicó su actividad contemplando el segundo trimestre de 2025: pasó de tener un promedio de 35 víctimas al mes, a llegar casi a las 70. Uno de los factores que puede explicar este fenómeno es la desaparición de RansomHub: muchos de sus afiliados parecen haber sido reclutados por Qilin.

Principales ataques del ransomware Qilin

Que Qilin se haya convertido en uno de los grupos de ransomware más preponderantes responde tanto a la cantidad de ataques que ha perpetrado como a la relevancia que tuvieron. Por ello, repasaremos algunos casos recientes que permiten dimensionar el impacto de su actividad.

  • Synnovis

El ataque a uno de los proveedores de servicios de patología más importantes de Londres, que hasta procesa análisis de sangre en nombre de varias organizaciones del Servicio Nacional de Salud (NHS), tuvo lugar en junio de 2024.

Tal como informó la propia institución, la consecuencia fue que “el NHS no puede utilizar algunos de sus sistemas esenciales para realizar análisis de sangre en el sureste de Londres”. Concretamente, hubo interrupciones en diversos hospitales, y hasta escasez de donaciones de sangre.

Más allá de la interrupción del servicio, y luego de que Synnovis no haya pagado el rescate exigido de 50 millones de dólares, Qilin publicó 400 GB de datos en su sitio de la dark web: fueron más de 300 millones de interacciones de pacientes con información médica confidencial y sensible.

  • The Big Issue

En marzo de 2024, Qilin se adjudicó el ataque al periódico británico, afirmando tener en su poder más de 500 GB de datos. Entre la información obtenida, se destacaban los datos personales de sus empleados, contratos, y hasta informes financieros.

Por su parte, The Big Issue reconoció el incidente: “Gracias a las medidas proactivas adoptadas, hemos podido comenzar a restaurar nuestros sistemas y operamos con interrupciones limitadas. Como parte de la investigación, identificamos que ciertos datos relacionados con la organización fueron publicados en la dark web”.

qilin-ransomware-call-lawyer-2
Imagen 2. Qilin se adjudicó el ataque a The Big Issue en su sitio de filtraciones. Fuente: Comparitech.

  • Inotiv

Uno de los casos más recientes, en agosto de 2025, afectó a esta firma estadounidense, que se especializa en investigación en fármacos. En el incidente fueron encriptados sistemas y datos, lo que afectó directamente las operaciones comerciales y otras operatorias de la compañía.

Por su parte, Qilin se adjudicó el ataque de ransomware en su sitio y afirmó tener en su poder más de 160.000 archivos, representando un total de 176 GB.

qilin-ransomware-call-lawyer-3
Imagen 3. Publicación de Qilin en la que se adjudica el ataque a Inotiv. Fuente: Bleeping Computer.

¿Cómo protegerse del ransomware Qilin?

Que el ransomware Qilin sea uno de los más activos de la actualidad, invita a repasar algunos puntos clave a la hora de pensar una estrategia de defensa y protección contra este tipo de ataque. A saber:

  • Actualizaciones y parches de seguridad

Qilin (al igual que otros grupos de ransomware) se valen de vulnerabilidades conocidas para ingresar a las redes de la víctima. Por eso es muy importante estar al día con las actualizaciones en todos los equipos y software de las organizaciones.

  • Soluciones de detección avanzadas

Contar con soluciones de seguridad y MDR es clave a fin de poder monitorear todo comportamiento inusual en los sistemas, ya sea la ejecución de procesos no autorizados, como cualquier movimiento lateral.

  • Segmentación de la red y un modelo Zero-Trust

Otra buena decisión es limitar el movimiento lateral en redes, con controles de acceso bien definidos y estrictos. El enfoque Zero-Trust otorga más seguridad, proponiendo que las empresas no confíen de manera predeterminada en nada que esté dentro o fuera de su red o perímetro.

  • Back-up

Dado que uno de los principales objetivos de este grupo de ransomware es encontrar información sensible y encriptarla, es importante para las empresas el realizar copias de seguridad periódicas, utilizando un almacenamiento aislado que no se pueda alterar.

  • Capacitación y concientización

La capacitación en seguridad de la información representa la primera barrera de defensa. Que cada persona de la organización sepa identificar un correo malicioso de phishing puede representar la diferencia entre una infección de ransomware que comprometa los sistemas e información de la compañía.