¿Qué está pasando?
El grupo cibercriminal Qilin, conocido por operar bajo el modelo de Ransomware-as-a-Service (RaaS), ha introducido una nueva funcionalidad en su panel de afiliados: asesoría legal personalizada para intensificar la presión sobre las víctimas.
La función, llamada “Call Lawyer”, permite que los atacantes activen la intervención de un supuesto abogado durante las negociaciones con empresas comprometidas. El objetivo: aumentar el monto del rescate simulando un conflicto legal inminente.
Un giro preocupante
“La sola presencia de un abogado en el chat puede ejercer presión indirecta sobre la empresa y aumentar el monto del rescate”,
se lee en un mensaje publicado en foros utilizados por afiliados de Qilin.
Este cambio evidencia cómo el cibercrimen evoluciona hacia modelos organizados que imitan servicios empresariales. Qilin no solo ofrece un malware sofisticado: también proporciona herramientas de spam, almacenamiento de datos a gran escala, ataques DDoS y ahora, asesoría legal.
Qilin en cifras
Desde octubre de 2022, Qilin ha ganado terreno entre los grupos de ransomware. En 2025 su actividad ha crecido significativamente:
- Fue el grupo con más víctimas registradas en abril (72).
- Ocupó el segundo lugar en mayo (55 ataques), detrás de Safepay y Luna Moth.
- Acumula 304 víctimas en lo que va del año, situándose como el tercer grupo más activo, después de Cl0p y Akira.
Esta expansión se explica, en parte, por la migración de afiliados desde otros grupos en decadencia como RansomHub, LockBit y BlackCat.
Un ecosistema criminal completo
Qilin cuenta con una infraestructura técnica madura: payloads en Rust y C, capacidades de ejecución en modo seguro, propagación por red, limpieza de evidencias y negociación automatizada. Ahora incorpora funciones adicionales que apuntan a consolidarse como una plataforma de cibercrimen integral:
- Servicios de spam dirigidos a correos corporativos y números telefónicos.
- Un equipo interno de periodistas para aumentar la presión pública.
- Soporte legal orientado a las campañas de extorsión.
Otras amenazas recientes
Black Basta: Nuevos detalles sobre un actor llamado Tinker revelan cómo diseñaba campañas de phishing por Microsoft Teams para comprometer organizaciones haciéndose pasar por personal de TI.
Ryuk: Un ciudadano extranjero, acusado de actuar como Initial Access Broker, fue extraditado a Estados Unidos desde Ucrania.
Tailandia: La policía desmanteló una operación de ransomware y estafas financieras dirigida por ciudadanos chinos desde un hotel utilizado como centro de operaciones.
Implicaciones para las organizaciones
Las amenazas actuales no solo involucran técnicas avanzadas de intrusión, sino también tácticas de manipulación psicológica y presión legal simulada. Las organizaciones deben comprender que están frente a grupos que operan como estructuras empresariales criminales.
Recomendaciones
- Fortalecer los protocolos de respuesta ante incidentes, incluyendo simulacros de ransomware.
- Incluir al equipo legal y de comunicación en los planes de gestión de crisis.
- Establecer monitoreo activo de amenazas en foros clandestinos y canales de ransomware.
- Evitar negociaciones improvisadas sin la asesoría adecuada en ciberinteligencia y análisis forense.
El ransomware ya no es solo una amenaza técnica. Es una industria criminal que incorpora métodos legales, comerciales y psicológicos. Las empresas deben prepararse para enfrentar ataques multidimensionales.
