Security Tribunebywhalemate

Qilin y Securotrop en el segundo trimestre de 2026

Entre mayo y junio de 2026, distintos trackers y reportes de inteligencia vincularon a Qilin con campañas activas de ransomware que escalaron

Whalemate Labs · Research asistido por IA7 de jul de 202639 min

A partir del 7 de mayo de 2026, Check Point detectó explotación activa de CVE-2026-50751, un bypass crítico de autenticación en despliegues de VPN con IKEv1 heredado que permitió a atacantes no autenticados establecer sesiones remotas sin credenciales válidas. La actividad se intensificó a comienzos de junio y terminó por motivar una respuesta coordinada de emergencia, con parches del proveedor, advertencias de CISA y la inclusión del fallo en el catálogo KEV. Diversas fuentes técnicas y de seguimiento, entre ellas Rapid7, SecurityWeek, The Register y Check Point Research, coincidieron en que al menos un incidente de la campaña estuvo vinculado a un afiliado de ransomware Qilin.

En el mismo periodo, Red Piranha consolidó un perfil más preciso de Securotrop. Lo describió como un grupo establecido a principios de 2025, operativo dentro de la red afiliada de Qilin, con Data Leak Site propio, identidad pública independiente y solapamiento de infraestructura confirmado por múltiples trackers. La propia referencia de Red Piranha es útil porque no presenta a Securotrop como una familia de malware separada, sino como una marca afiliada que reutiliza el software de Qilin sin alterar el código original. Ese punto es clave para entender por qué varios reportes regionales terminan mezclando reclamos de Qilin y Securotrop sin que exista una frontera técnica nítida entre ambos.

En el Cono Sur, Chile concentra la parte más visible de la discusión pública. ATCOM Outsourcing, empresa de staffing y servicios de outsourcing, fue mencionada en múltiples publicaciones de redes y rastreadores como presunta víctima de Qilin entre el 18 y el 19 de junio. La atribución, sin embargo, permanece basada en reclamos no corroborados de fuentes abiertas. A la vez, el mapa de ransomware.live para Chile y el análisis "Chile bajo presión RaaS" ubican otras víctimas vinculadas a Qilin, entre ellas Graneles de Chile, Noi Hotels, Valbifrut, Ducasse, Conectados Chile y Comercial Echave Turri Limitada. El cuadro sugiere presión sostenida sobre organizaciones chilenas, aunque el material disponible no permite reconstruir vectores de intrusión ni confirmar cada incidente por separado.

La señal más sólida para equipos defensivos está en el plano operativo. La campaña asociada a CVE-2026-50751 afectó a organizaciones con VPN expuestas, configuraciones heredadas y dependencia de IKEv1 como control de acceso perimetral. Las recomendaciones de mitigación fueron directas: desactivar IKEv1, exigir certificados de máquina, revisar logs en busca de conexiones VPN no autenticadas y aplicar de inmediato los parches de emergencia. En paralelo, la actividad de Qilin siguió mostrando patrones clásicos de ransomware con doble extorsión, borrado de copias sombra en Windows y uso de infraestructura de extorsión y filtración que se extiende a varias regiones de América Latina.

Registrate gratis para leer la nota completa

El acceso es gratuito. Solo necesitás una cuenta para desbloquear el artículo completo y recibir el newsletter semanal de ciberinteligencia.

Ver todas