Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Qilin Avanza en México Mientras Regresa LockBit y Crecen Nuevos Grupos

Escrito por Eduardo Morales | Nov 21, 2025 1:15:00 PM

El ecosistema del ransomware está viviendo uno de sus momentos más inestables. Si tú trabajas en temas de TI o en cualquier organización que dependa de sus sistemas digitales, este panorama te afecta directamente. Durante el tercer trimestre de 2025, se registró un récord histórico: 92 grupos de ransomware y extorsión operando al mismo tiempo. Nunca antes habíamos visto un escenario tan fragmentado, tan volátil y tan difícil de anticipar.

Desde TecnetOne hemos seguido de cerca esta tendencia. Lo que parece un “caos criminal” en realidad es una reconfiguración profunda del mercado del ransomware, marcada por nuevas marcas, viejos actores reagrupados y un crecimiento notable en países como México.

En este contexto tan agitado, Qilin, también conocido como Agenda, se está posicionando como uno de los grupos emergentes más activos en el país, justo cuando otro gigante, LockBit, anuncia su regreso.

 

Un mercado de ransomware más fragmentado… y más peligroso

 

Puede parecer contradictorio, pero el colapso de grandes organizaciones criminales no ha frenado la actividad delictiva; la ha multiplicado. Durante este trimestre se registraron 1,712 víctimas en 92 sitios de filtración distintos. Lo interesante es que:

 

  1. Los 10 grupos más activos concentraron solo el 48% de las víctimas.

 

  1. La otra mitad se distribuyó entre actores pequeños, efímeros y prácticamente desconocidos.

 

Esto significa que el ransomware se ha descentralizado. Si antes podías monitorear a LockBit, Conti o BlackCat como los grandes referentes, hoy debes prestar atención a decenas de células pequeñas que operan con el mismo daño, pero con mayor imprevisibilidad.

Y todo esto tiene un origen claro: el colapso reciente de organizaciones como RansomHub, 8Base y BianLian. Sus afiliados se reacomodaron rápidamente en grupos más pequeños, dando lugar a 18 nuevas “marcas” de ransomware en un solo trimestre.

La policía ha logrado derribar infraestructura, pero no a los operadores. Mientras los servidores caen, los delincuentes se reproducen, cambian de nombre y vuelven a operar.

 

La caída de confianza en los grupos criminales también cambia el juego

 

En este mercado clandestino, incluso los delincuentes dependen de la reputación. Si un grupo no puede “cumplir” su promesa de entregar claves de cifrado, pierde clientes. Por eso, con tantas nuevas células pequeñas, la tasa de pagos se ha desplomado a 33%. Sí, incluso las víctimas ya no confían en que recuperarán sus datos.

Sin embargo, esta caída de confianza también abre la puerta a algo preocupante: el regreso de un actor que históricamente sí cumplía.

 

Lee más: ¿El Gobierno Mexicano Está Siendo Hackeado por sus Propios Empleados?

 

LockBit vuelve con fuerza: una reconsolidación del poder criminal

 

Después del golpe que sufrió en 2024 con la Operación Cronos, muchos creían que LockBit había quedado debilitado. Pero en septiembre reapareció con LockBit 5.0, una versión más rápida, más agresiva y con:

 

  1. Variantes para Windows, Linux y ESXi.

 

  1. Técnicas avanzadas de evasión.

 

  1. Cifrado al doble de velocidad.

 

  1. Portales de negociación personalizados.

 

En solo su primer mes de actividad, ya se adjudicó al menos 15 ataques confirmados.

Su administrador, LockBitSupp, volvió a aparecer en foros clandestinos afirmando que la organización está reconstruida. Y aunque no podemos verificar estas afirmaciones, el impacto es inmediato: decenas de afiliados están tentados a regresar a un grupo con estructura, reputación y pagos confiables.

Si LockBit logra reagrupar a quienes quedaron “huérfanos” tras la caída de otras bandas, podríamos ver una nueva ola de ataques coordinados.

 

Qilin: el grupo emergente que ya opera en México

 

Mientras los titanes intentan reconstruirse, Qilin está creciendo rápidamente. Y lo preocupante es que su presencia en México ya es confirmada.

Este grupo:

 

  1. Opera bajo el modelo Ransomware-as-a-Service (RaaS).

 

  1. Surgió en 2022.

 

  1. Está escrito en Rust y C.

 

  1. Funciona en Windows, Linux y ESXi.

 

  1. Utiliza la doble extorsión (cifrado + filtración de datos).

 

  1. Lleva más de 700 víctimas solo en 2025.

 

  1. Ha puesto especial atención en los sectores financiero, salud y gobierno.

 

Este trimestre, Qilin se colocó entre los grupos más activos del mundo por sus ataques en Corea del Sur, pero su expansión en Latinoamérica también avanza.

 

Víctimas confirmadas de Qilin en México durante 2025

 

En nuestro país, los ataques registrados incluyen:

 

  1. Fundidora de Cananea (Sonora, minería – 13 de noviembre)

 

  1. Ganadería Revuelta (sector cárnico – 22 de agosto)

 

  1. Tecnología Especializada Asociada de México (TEAM) (TI – 30 de agosto)

 

Estas intrusiones muestran algo claro: Qilin está probando terreno en México y diversificando sectores estratégicos. Ya no hablamos solo de grandes empresas internacionales; las organizaciones mexicanas están dentro del radar, y la tendencia apunta a un crecimiento rápido.

 

Un ecosistema que evoluciona como una red descentralizada

 

Desde TecnetOne lo vemos con claridad: monitorear “nombres de grupos” ya no es suficiente. Lo que importa hoy es rastrear:

 

  1. Afiliados

 

  1. Infraestructura compartida

 

  1. Patrones de movimiento

 

  1. Superposición de tácticas

 

  1. Incentivos económicos dentro del mercado clandestino

 

Este fenómeno se compara con tecnologías descentralizadas como las criptomonedas o los proyectos de código abierto: muchos actores distintos contribuyen a un mismo ecosistema, pero sin una cabeza visible.

 

También podría interesarte: Ciberataques en México: Hackers Veloces vs Gobierno Lento

 

¿Se está reduciendo el número de ataques? No. ¿Se está complicando el panorama? Sí.

 

La fragmentación del ransomware no está disminuyendo el volumen de ataques. Al contrario:

 

  1. Hay más actores

 

  1. Más presiones económicas

 

  1. Más técnicas automatizadas

 

  1. Más oportunidades para atacar sectores poco protegidos

 

Si LockBit atrae afiliados nuevamente, el panorama podría cambiar hacia campañas más grandes y mejor organizadas.

 

México: un terreno fértil para el ransomware

 

Los grupos utilizan los mismos vectores de entrada que hemos observado durante años:

 

  1. RDP expuesto

 

  1. Phishing bien diseñado

 

  1. Credenciales filtradas en dark web

 

  1. Fallos no parchados

 

  1. Errores de configuración en la nube

 

La realidad es simple: México se ha convertido en un mercado atractivo para los grupos de ransomware, especialmente porque muchas organizaciones siguen sin aplicar medidas básicas de seguridad.

 

Cómo protegerte en un escenario tan caótico

 

La recomendación principal sigue siendo: no pagar rescates.

Las autoridades y los especialistas coinciden en que esto solo fortalece el negocio criminal.

Pero más allá de eso, es fundamental:

 

  1. Tener copias de seguridad verificadas.

 

  1. Implementar autenticación multifactor.

 

  1. Cerrar servicios expuestos.

 

  1. Monitorear credenciales filtradas.

 

  1. Entrenar a tu equipo contra ingeniería social.

 

  1. Adoptar defensas que vayan más allá del perímetro tradicional.

 

En TecnetOne insistimos: el ransomware evoluciona tan rápido como tu estrategia también debería hacerlo.

 
Ver post completo