Hoy hay una cuenta regresiva activa que muy pocas empresas en México conocen.
Un grupo criminal tiene en su poder más de 61 millones de registros de una de las mayores empresas de distribución de alimentos del mundo —con operaciones directas en territorio mexicano— y acaba de emitir un ultimátum: si no pagan antes del 18 de junio, los datos se filtran públicamente.
La empresa se llama Sysco. El grupo criminal se llama Qilin. Y lo que está ocurriendo esta semana no es una noticia de tecnología. Es una señal directa para cualquier empresa mexicana que tenga datos, clientes y algo que perder.
Déjame explicarte por qué.
El contexto que cambia todo: tres eventos, un solo culpable, una semana
Lo que hace particularmente importante lo que está ocurriendo esta semana no es un evento aislado. Son tres señales simultáneas que apuntan en la misma dirección, todas protagonizadas por el mismo actor: el grupo Qilin, también conocido como Agenda.
Señal 1 — 15 de junio de 2026
El grupo ShinyHunters exige rescate a Sysco —el distribuidor de alimentos más grande del mundo, con operaciones en México— amenazando con filtrar 61 millones de registros de Salesforce que incluyen datos de clientes, colaboradores e información corporativa interna. Plazo: 18 de junio.
Esto representa un segundo ataque en menos de 40 días: Qilin ya los había listado en mayo.
Señal 2 — 8 al 11 de junio de 2026
La Agencia de Ciberseguridad de Estados Unidos (CISA) emitió una directiva de emergencia obligando a todas las agencias federales del gobierno americano a parchear en 72 horas una vulnerabilidad crítica en los sistemas VPN de Check Point, identificada como CVE-2026-50751.
¿Quién estaba explotando esa vulnerabilidad?
Qilin.
Señal 3 — Semana del 2 al 8 de junio de 2026
Qilin reclamó quince nuevas víctimas en solo 72 horas, en nueve países diferentes. Entre ellas: una clínica en Chile y una empresa del sector alimentario en Brasil.
Latinoamérica ya está en su lista de objetivos activos.
Cuando tres eventos así coinciden en una misma semana, el sector de seguridad informática lo llama una convergencia de señales.
Lo que significa en términos prácticos es simple: el riesgo no está en el horizonte. Ya llegó.
Qilin: el crimen que se volvió industria
Para entender la magnitud de lo que representa Qilin, necesitas abandonar la imagen tradicional del hacker solitario frente a múltiples pantallas en un cuarto oscuro.
Esa imagen está desactualizada por al menos diez años.
Qilin opera exactamente como una empresa.
Tiene área de desarrollo de software, soporte técnico para los criminales que contratan su plataforma, modelo de ingresos por comisión, sistema de afiliados y hasta un sitio web de filtraciones accesible en internet abierto que funciona como presión reputacional sobre sus víctimas.
El modelo se llama Ransomware-as-a-Service (RaaS).
Los fundadores de Qilin desarrollan y mantienen el software malicioso y la infraestructura de extorsión.
Cualquier criminal —sin importar su nivel técnico— puede convertirse en afiliado, rentar las herramientas, lanzar un ataque y compartir con Qilin un porcentaje de lo que cobre.
Es literalmente una franquicia del crimen.
Los números hablan por sí solos:
En 2023, Qilin registró 45 ataques documentados.
En 2024, esa cifra subió a 179.
En 2025, superó los mil ataques: más que cualquier otro grupo de ransomware en el mundo.
En los primeros cinco meses de 2026 ya acumula más de 557 ataques confirmados.
En octubre de 2025 era responsable del 29 por ciento de todos los ataques de ransomware a nivel global.
ZeroFox proyecta que cerrará el segundo trimestre de 2026 como el grupo criminal más activo del planeta por cuarto trimestre consecutivo.
Lo que disparó este crecimiento fue la caída de RansomHub en abril de 2025.
Sus afiliados migraron masivamente a Qilin.
La competencia se redujo.
El volumen de ataques se multiplicó.
La puerta sin cerradura: cómo Qilin entra a empresas sin necesitar tu contraseña
Esta semana se documentó algo que debe preocuparte si tu empresa utiliza una VPN para dar acceso remoto a colaboradores.
La CVE-2026-50751 es una vulnerabilidad crítica en los productos Check Point Security Gateway.
El fallo está en el protocolo IKEv1, una tecnología de conexión VPN considerada obsoleta pero que millones de empresas siguen utilizando porque «siempre ha funcionado».
La vulnerabilidad permite que un atacante establezca una conexión VPN a la red interna de una empresa sin usuario, sin contraseña y sin ninguna forma de autenticación.
Solo necesita saber que el sistema existe y que es vulnerable.
Qilin comenzó a explotar esta vulnerabilidad desde el 7 de mayo de 2026.
Para el 8 de junio, la CISA ya la había catalogado como explotada activamente en campañas de ransomware.
La lección para tu empresa es directa:
La VPN que protege tu red puede ser la puerta que la está abriendo.
Si utilizas Check Point Security Gateway y aún no aplicas el parche de emergencia, existe una ruta documentada que los afiliados de Qilin están explotando activamente.
Pero la lección va más allá de un fabricante específico.
Cualquier VPN sin actualizar, con protocolos obsoletos o sin MFA activo representa una vulnerabilidad equivalente.
La doble extorsión: por qué tus respaldos ya no te salvan
Aquí es donde Qilin rompe con la defensa que muchas empresas aún tienen en mente cuando piensan en ransomware.
La narrativa tradicional era:
«Tengo respaldos, puedo restaurar y continuar operando».
Esa narrativa ya no es suficiente. Qilin y los grupos modernos operan bajo un esquema de doble extorsión. Primero roban los datos. Después cifran los sistemas. Y luego ejercen presión mediante dos amenazas simultáneas:
Si no pagas, pierdes acceso a tus sistemas.
Si no pagas, publicamos toda tu información.
En el 88 por ciento de los casos confirmados de Qilin durante 2025 ocurrieron simultáneamente el cifrado y la exfiltración de datos.
Puedes restaurar tus sistemas, lo que no puedes restaurar es la información que ya fue robada. Y una vez que esos datos están en manos de los atacantes, la amenaza de exposición pública sigue existiendo independientemente de lo que hagas con tu infraestructura.
Lo que esto significa para tu empresa es algo que muchos directores generales tardan en procesar hasta que lo ven en frío:
Si tus datos caen en manos de Qilin, el daño ya ocurrió antes de que descubrieras el ataque.
Los respaldos ayudan a recuperar la operación. No evitan la exposición de clientes. No evitan la filtración de contratos. No evitan la publicación de información financiera. Y tampoco evitan el daño reputacional.
Por qué esto no es un problema de Estados Unidos
Existen tres razones concretas por las que lo ocurrido esta semana afecta directamente a las empresas mexicanas.
Razón 1: Sysco opera en México
Los sistemas comprometidos contienen información de proveedores, clientes y operaciones de toda su cadena de suministro. Eso incluye socios comerciales mexicanos.
Razón 2: Latinoamérica ya está en el mapa
Durante la primera semana de junio, Qilin atacó una clínica en Chile y una empresa alimentaria en Brasil. No fueron incidentes aislados. Fueron una señal clara de expansión regional.
Razón 3: Los sectores más atacados son los mismos que impulsan la economía mexicana
Manufactura.
Servicios profesionales.
Retail.
Salud.
Construcción.
Servicios financieros.
Prácticamente el mismo mapa económico de cualquier ciudad importante del país.
Además:
México registra 781 ataques de ransomware diarios.
El 74 por ciento de las empresas mexicanas sufrió algún ataque cibernético durante 2025.
Más del 60 por ciento de las pymes mexicanas reportó incidentes de seguridad durante el último año.
Por qué ya no necesitas ser grande para convertirte en objetivo
El modelo RaaS cambió completamente la economía del cibercrimen. Antes, atacar a una empresa mediana no justificaba el esfuerzo. Hoy sí.
Un afiliado puede escanear miles de empresas en busca de VPNs vulnerables, sistemas sin actualizar o credenciales filtradas y lanzar ataques masivos utilizando herramientas desarrolladas profesionalmente.
El costo de atacar a tu empresa se redujo drásticamente. El valor de tus datos sigue siendo alto. La selección de víctimas ya no depende de quién es más grande. Depende de quién es más vulnerable.
Y en México todavía existen miles de empresas operando con sistemas desactualizados, sin MFA, con contraseñas reutilizadas y sin capacitación en seguridad.
Lo que puedes hacer esta semana
1. Audita y actualiza tu VPN hoy
No este mes. No el próximo trimestre. Esta semana. Verifica que todos tus dispositivos y soluciones VPN estén actualizados.
2. Activa MFA en todos los accesos remotos
Sin excepciones. Es una de las medidas más efectivas y con mejor retorno de inversión.
3. Elimina protocolos obsoletos
Haz un inventario de tus sistemas y prioriza las vulnerabilidades más expuestas. Todo software sin soporte representa una puerta abierta.
4. Replantea tu estrategia de respaldos
No solo necesitas restaurar. Necesitas saber qué información tienes, dónde está y qué ocurriría si se hiciera pública.
5. Segmenta tu red
Evita que un acceso comprometido permita el movimiento lateral hacia toda la organización.
6. Capacita a tus colaboradores
Tus colaboradores siguen siendo una línea crítica de defensa frente al phishing y la ingeniería social.
7. Ten un plan de respuesta
¿Qué pasaría en tu empresa durante la primera hora después de un ataque? Si no tienes una respuesta clara, ahí tienes una prioridad inmediata.
El aprendizaje de esta semana
Qilin no es un grupo aislado de hackers. Es una organización criminal industrializada. Tiene desarrollo de producto. Tiene canales de distribución. Tiene afiliados. Tiene objetivos de crecimiento. Y tiene presencia en Latinoamérica.
Los tres eventos ocurridos esta semana —el nuevo ataque a Sysco, la explotación activa de vulnerabilidades VPN y la expansión regional confirmada— representan señales que no puedes ignorar.
El ransomware dejó de ser un problema exclusivo de las grandes corporaciones. Hoy es uno de los riesgos financieros y operativos más importantes para cualquier empresa en México.
La pregunta que vale la pena hacerte hoy es simple: Si Qilin eligiera a tu empresa mañana, ¿qué encontraría?
Para cerrar
Las empresas que mejor resisten este tipo de ataques no son necesariamente las que tienen el mayor presupuesto tecnológico. Son aquellas cuyos líderes convierten la ciberseguridad en una prioridad estratégica del negocio.
Si al leer este artículo identificaste vulnerabilidades específicas en tu empresa o simplemente no tienes certeza sobre tu nivel real de exposición frente a amenazas como Qilin, ese reconocimiento ya es un excelente punto de partida.
Si hoy no tienes certeza de qué tan vulnerable es tu empresa frente a un ataque de ransomware, este es el momento de averiguarlo. Escríbeme y revisemos juntos dónde están los riesgos, antes de que alguien más los encuentre primero.
Guillermo Cobos, especialista en Seguridad y Riesgo Digital
Contacto: [email protected]
Te comparto esta nota en el video:
Síguenos en todas nuestras redes:
Facebook: https://www.facebook.com/CareTelecom
X: https://twitter.com/caretelecom
Linkedin: https://www.linkedin.com/company/care-telecom/
Correo: [email protected]
Instagram: https://instagram.com/caretelecom
Spotify Pódcast: Escudo Digital: https://spoti.fi/3FSvKoA
Foto: Especial
miop
