⚠️ “Korean Leaks”: el recordatorio brutal de que un solo proveedor puede tumbar a toda tu organización

Si mañana uno de tus proveedores de TI sufre una brecha, ¿estás seguro de que eso no arrastrará a tu empresa también?
La campaña Korean Leaks demuestra que, en 2025, la verdadera debilidad ya no es tu infraestructura, sino la de quienes conectan su infraestructura con la tuya.

🧨 ¿Qué pasó con Qilin y el ataque “Korean Leaks”?

El grupo de ransomware Qilin —uno de los RaaS (Ransomware-as-a-Service) más agresivos de 2025— tomó el control de un MSP surcoreano (un proveedor de servicios gestionados, equivalente a quienes administran redes, respaldos y soporte TI de varias empresas).

Ese MSP habría sido GJTec, según reportes locales, y se convirtió en el “puente” perfecto para comprometer a 28 víctimas, principalmente:

• empresas financieras,

• compañías de gestión de activos,

• y una constructora.

El resultado:

• Más de 1 millón de archivos robados

• 2 TB de datos exfiltrados

• Información publicada en su propio sitio de filtraciones

• Amenazas con impacto económico y político

Qilin aprovechó ese único punto de acceso para lanzar ataques en oleadas durante septiembre y octubre de 2025, combinando extorsión financiera con mensajes políticas que buscaban generar presión en el mercado bursátil surcoreano.

Incluso se sospecha colaboración con el grupo norcoreano Moonstone Sleet, lo que refuerza el componente geopolítico.

🔥 Cómo operaron (explicado para gente de TI)

Una vez dentro del MSP:

1. Movieron lateralmente entre clientes conectados al proveedor.

2. Desplegaron ransomware en cadena, cliente por cliente.

3. Publicaron la información en tres fases, cada una más agresiva para aumentar presión.

4. Borraron cuatro entradas del sitio de filtraciones —probablemente negociaciones o pagos.

Bitdefender clasificó esta operación como altamente sofisticada, típica del modelo de afiliados rusos de Qilin, que combina:

• robo masivo de datos,

• presión reputacional,

• y motivaciones políticas.

🇲🇽 Conexión con México: el caso ASF

Qilin no se quedó en Asia. Sus ataques han escalado también en América Latina.

En México, la American School Foundation (ASF) fue una de las víctimas de la expansión del grupo en 2025, dentro de una campaña más grande con más de 700 incidentes globales.

En ASF, Qilin filtró datos de estudiantes y personal, aplicando su estrategia clásica de doble extorsión:

1. Secuestran tus datos.

2. Filtran lo robado si no pagas.

Este patrón confirma que Qilin está globalizando su operación y usando proveedores tercerizados como palanca para generar daños amplificados en países emergentes, incluyendo México.

🛡️ Recomendaciones prácticas para tu día a día en TI

Esto no es teoría.
Esto es exactamente lo que debes revisar hoy en tu empresa o clientes:

1. Evalúa tus proveedores MSP

• Pide auditorías de seguridad.

• Exige controles de acceso, MFA y registros de actividad.

• Confirma cómo segmentan redes entre clientes (si no pueden explicarlo, es mala señal).

2. Segmenta tu propia red

No dependas de la seguridad del proveedor.
Si un MSP cae, que no arrastre toda tu infraestructura.

3. Monitorea movimientos laterales

Implementa alertas para:

• accesos fuera de horario,

• saltos entre servidores,

• creación inesperada de usuarios,

• actividad anómala de RDP o SSH.

4. Parches y actualizaciones

Qilin explota fallas conocidas. Aplícalos antes de que “otra semana ocupada” se vuelva un incidente.

5. Capacitación y phishing

Muchos accesos iniciales ocurren por credenciales robadas.
Entrena a tus usuarios, incluso si “ya saben”.

6. Respaldos offline

No confíes en respaldos montados en red.
Cualquier cosa que el atacante pueda ver, también puede cifrarla.

7. Plan de respuesta a incidentes

Incluye:

• contactos de emergencia,

• proceso de aislamiento,

• autoridades locales,

• pasos para contención y restauración.

8. Colaboración

La defensa contra grupos tipo Qilin requiere coordinación con:

• proveedores,

• equipos internos,

• CERTs gubernamentales,

• y forenses externos.