Qilin Ransomware: El Grupo que Atacó a Empresas Mexicanas en 2026 y Cómo Proteger tu PyME

El grupo de ransomware Qilin se consolidó como una de las amenazas más activas del primer trimestre de 2026, acumulando más de 400 ataques a nivel global y siendo responsable de más del 30% de los aproximadamente 2,200 incidentes de ransomware registrados en ese período. México no fue la excepción: con alrededor de 30 ataques reportados, el país se posicionó como uno de los más afectados en América Latina, junto con Brasil.

Qilin opera bajo el modelo de Ransomware-as-a-Service (RaaS), lo que significa que sus creadores ofrecen su infraestructura y herramientas a afiliados que pagan por usarlas para atacar empresas. Este modelo de "franquicia criminal" permite que atacantes con menor experiencia técnica ejecuten campañas devastadoras. El malware está escrito en Golang, lo que le permite operar en múltiples sistemas operativos, y emplea una táctica de triple extorsión:

1. 1Cifrado de datos: Bloquea el acceso a los archivos de la víctima.
2. 2Robo y amenaza de publicación: Exfiltra información sensible y amenaza con publicarla si no se paga el rescate.
3. 3Presión adicional: Contacta a clientes, proveedores o empleados de la empresa víctima para aumentar la presión.

El caso más reciente y documentado en México fue el ataque a Grupo ABC, una empresa del sector de materiales de construcción, el 24 de abril de 2026. Qilin reclamó la responsabilidad del ataque y advirtió que datos sensibles serían expuestos si no se iniciaban negociaciones. Anteriormente, en agosto de 2025, el grupo atacó a Ganadería Revuelta, una empresa productora de carne, amenazando con exponer datos de su cadena de suministro y clientes.

Estos ataques no son aislados. En el primer trimestre de 2026, el Banco de México (Banxico) reportó que dos instituciones bancarias fueron víctimas de ransomware: una por LockBit y otra por Qilin, afectando transferencias electrónicas y canales digitales.

• Más del 60% de las PyMEs mexicanas sufrieron intentos de robo de datos, ransomware o acceso no autorizado en el último año.
• Solo el 40% de las PyMEs cuenta con protocolos de seguridad activos.
• El vector de entrada más común es el phishing: correos electrónicos diseñados para robar credenciales de acceso.
• Muchas empresas operan con sistemas desactualizados y sin segmentación de red, lo que facilita el movimiento lateral del atacante una vez dentro.
• Un ataque de ransomware puede costarle a una PyME más de dos millones de pesos, con un tiempo promedio de recuperación de tres semanas.

Una táctica especialmente preocupante de grupos como Qilin es la persistencia silenciosa: los atacantes se infiltran en la red de la empresa y permanecen sin ser detectados durante semanas o incluso meses antes de activar el cifrado. Durante ese tiempo, exfiltran datos críticos, mapean la infraestructura y eliminan las copias de seguridad accesibles. Cuando finalmente activan el ransomware, la empresa ya ha perdido su información más valiosa.