Qilin y la explotación de Fortinet
Chile recibió 8,8 billones de intentos de ciberataque en 2025, mientras que entre enero y junio de 2026 se registraron 58 incidentes con impacto
El dato más fuerte del material es la magnitud de la presión sobre Chile. Según el informe regional citado por G5 Noticias y La Tercera, el país recibió 8,8 billones de intentos de ciberataque durante 2025. Ese volumen no aparece aislado, porque el mismo relevamiento de SEK, resumido por G5 Noticias y Zoom Tecnológico, registró 58 incidentes con impacto o exposición sobre organizaciones chilenas entre enero y junio de 2026. De ese total, 18 terminaron en publicaciones de datos en sitios de divulgación de ransomware y 40 en foros de cibercrimen de la dark web. Dentro de ese subconjunto, Qilin concentró el 61 por ciento de las publicaciones de ransomware, con 11 de 18 víctimas, y se consolidó como el actor más activo contra entidades chilenas en el período.
El cuadro técnico que emerge es bastante nítido. Qilin opera como ransomware-as-a-service, con campañas automatizadas, doble extorsión y capacidad para cifrar Windows, Linux y VMware ESXi. El grupo viene asociándose de manera consistente con vectores de acceso inicial en dispositivos de borde y gateways VPN, en especial Fortinet. El material consolidado vincula al menos dos vulnerabilidades con sus operaciones, CVE-2024-21762 y CVE-2024-55591. La primera afecta FortiOS y FortiProxy en la interfaz SSL VPN, permite ejecución remota de código y figura en el catálogo KEV de CISA. La segunda habilita un bypass de autenticación y también fue incorporada a KEV. Varias fuentes técnicas, entre ellas Scrutex.ai, Paubox, Viakoo, The Hacker News, Arctic Wolf, Hispasec y Devel Group, describen campañas de robo masivo de credenciales, automatización de intrusiones y persistencia sobre FortiGate expuestos.
La expansión regional no es marginal. Ransomware.live, Legal-ISAC y Scrutex.ai muestran víctimas y actividad asociadas a Qilin en Chile, Paraguay y Bolivia, mientras que Brasil aparece como un foco regional con alta exposición y actividad concomitante. En paralelo, otros actores como The Gentlemen, Securotrop y múltiples grupos vinculados a Fortinet demuestran que el ecosistema RaaS comparte infraestructura, afiliados y técnicas de acceso inicial. El resultado es un entorno en el que la explotación de una superficie común, los servicios remotos expuestos, sirve para amplificar el impacto de campañas distintas pero relacionadas.
Para equipos de seguridad, el mensaje operativo es directo. El material disponible favorece una hipótesis de riesgo en la que la combinación de VPN sin parchear, MFA ausente, credenciales reutilizadas y monitoreo insuficiente de logs sigue siendo suficiente para habilitar intrusiones de alto impacto. La defensa prioritaria pasa por parchear Fortinet, cerrar administración externa cuando sea posible, revocar sesiones, rotar credenciales, activar MFA y revisar autenticaciones anómalas, cuentas administrativas fantasma y uso sospechoso de comandos de inspección en firewalls. El caso chileno muestra que la exposición ya no se mide solo en intentos, sino en publicaciones públicas de datos y en una persistencia operativa que ya alcanzó a sectores de gobierno, finanzas, educación, salud, energía, minería y turismo.
Registrate gratis para leer la nota completa
El acceso es gratuito. Solo necesitás una cuenta para desbloquear el artículo completo y recibir el newsletter semanal de ciberinteligencia.

