Los protagonistas – Un titán y un depredador cibernético

En el mundo de la analítica de telecomunicaciones, Tiger Communications plc ha sido durante décadas sinónimo de fiabilidad y precisión. Fundada en 1979 en Ringwood, Hampshire (Reino Unido), la empresa comenzó desarrollando hardware para centrales telefónicas analógicas. A mediados de los años 80, se transformó en un proveedor de soluciones de software para gestión de llamadas, control de costes y detección de fraudes.

Su producto estrella, Tiger Prism, es utilizado por organismos públicos, universidades y grandes corporaciones para monitorizar redes de comunicación, optimizar la colaboración y proteger la infraestructura crítica.

Pero en julio de 2025, esa fortaleza tecnológica fue vulnerada.

El atacante: Qilin, un nombre que resuena con temor en los rincones más oscuros del ciberespacio.

Qilin es una organización cibercriminal de habla rusa, operando bajo el modelo de Ransomware como Servicio (RaaS). Surgió en julio de 2022 bajo el alias Agenda, y rápidamente evolucionó en una entidad sofisticada, con malware escrito en Rust y Golang, capaz de atacar tanto sistemas Windows como Linux.

Su modelo de negocio es tan eficaz como despiadado:

• Los afiliados reciben hasta el 85 % de los pagos de rescate.

• El grupo ofrece un panel automatizado para negociaciones, cifrado de datos y propagación en red.

• Incluso proporciona asesoría legal mediante la función “Call Lawyer” para presionar a las víctimas.

En los últimos seis meses, Qilin ha reivindicado más de 80 ataques confirmados, afectando hospitales, empresas tecnológicas, organismos públicos y ahora, el sector de telecomunicaciones. Solo en abril de 2025, se registraron 72 nuevas víctimas, lo que convierte a Qilin en el grupo de ransomware más activo del mundo.

Sus tácticas incluyen:

• Explotación de vulnerabilidades críticas en productos Fortinet.

• Campañas de doble extorsión (cifrado + amenaza de filtración).

• Presión psicológica mediante documentos legales falsificados.

Tiger Communications es el último dominó en caer. Y el silencio de su dirección podría ser la antesala de una tormenta de datos.

El precio del silencio

El impacto financiero total del ataque de ransomware contra Tiger Communications sigue sin conocerse. Al 18 de julio de 2025, la empresa no ha emitido ningún comunicado oficial sobre la brecha, ni ha confirmado si se están llevando a cabo negociaciones con los atacantes.

Sin embargo, los analistas de ciberseguridad estiman que el coste medio de un ataque de ransomware en 2024 superó los 4,91 millones de dólares, teniendo en cuenta pagos de rescate, interrupciones operativas, recuperación de datos, honorarios legales y daños reputacionales.

Dada la dimensión de Tiger, su cartera de clientes y la naturaleza de sus servicios —especialmente en analítica de telecomunicaciones y detección de fraude— los expertos del sector sugieren que las pérdidas potenciales podrían oscilar entre 5 y 12 millones de dólares, dependiendo del alcance de la exfiltración de datos y la interrupción de los sistemas. Un informe de Undercode News señala que Qilin suele exigir pagos entre 500.000 y varios millones de dólares, y advierte que si Tiger no responde antes del 25 de julio de 2025, sus archivos podrían ser filtrados públicamente.

Qilin: Un imperio del crimen digital

El grupo Qilin se ha consolidado como uno de los sindicatos de ransomware más lucrativos del año. Según Cybersecurity News, en 2024 acumuló más de 50 millones de dólares en pagos de rescate. Un solo ataque contra Synnovis incluyó una demanda de 50 millones de dólares y provocó la filtración de 900.000 expedientes médicos.

Los analistas estiman que, en el primer semestre de 2025, Qilin ya ha generado entre 35 y 45 millones de dólares, basándose en registros de negociación filtrados y estructuras de pago a afiliados.

Su modelo de negocio es implacablemente eficiente:

• Los afiliados reciben el 80 % de los pagos inferiores a 3 millones de dólares, y el 85 % si superan ese umbral.

• El grupo opera un panel personalizado para afiliados, con asesores legales y consultores de medios para presionar a las víctimas durante las negociaciones.

• Su infraestructura admite almacenamiento de datos a escala petabyte, herramientas automatizadas de spam y una función llamada “Call Lawyer” para intimidar jurídicamente a las empresas atacadas.

En resumen, Qilin no solo extorsiona — dirige un imperio cibercriminal con la sofisticación de una multinacional Fortune 500.

Anatomía de un ataque — y la defensa que pudo haberlo detenido

El ataque contra Tiger Communications no fue casual — fue una operación cibernética multifásica, ejecutada con precisión por el grupo de ransomware Qilin. Según los analistas de amenazas, el ataque siguió una cadena estructurada que aprovechó vulnerabilidades conocidas y desplegó cargas maliciosas avanzadas.

Tácticas de Qilin

1. Acceso inicial

• Explotación de vulnerabilidades en Fortinet SSL VPN y en CVE-2023-27532 de Veeam Backup & Replication.

• Campañas de phishing y uso de credenciales robadas para evadir autenticación.

2. Ejecución y escalamiento de privilegios

• Distribución de malware mediante scripts PowerShell y archivos disfrazados como legítimos.

• Técnica BYOVD (“Bring Your Own Vulnerable Driver”) para desactivar herramientas EDR.

• Uso de Mimikatz para extraer credenciales de dominio y obtener acceso SYSTEM.

3. Movimiento lateral y cifrado

• Propagación a través de PsExec, RDP y comparticiones SMB.

• Desactivación del servicio Volume Shadow Copy (VSS) y eliminación de copias de seguridad.

• Cifrado con AES-256 CTR y ChaCha20, con extensiones como .qilin y .agenda.

Tiger Communications no contaba con una plataforma centralizada de respuesta ante amenazas — una debilidad crítica.

Cómo Cy-Napea® habría podido prevenir el ataque

Cy-Napea®, desarrollada por Aurora Consolidated Ltd., es una plataforma modular de ciberseguridad diseñada para enfrentar amenazas complejas como Qilin. Sus capacidades clave:

1. Endpoint Detection and Response (EDR)

• Detección en tiempo real de procesos maliciosos.

• Análisis de comportamiento de scripts y comandos sospechosos.

2. Extended Detection and Response (XDR)

• Correlación de señales entre endpoints, red y nube.

• Identificación de movimientos laterales y accesos no autorizados.

3. Protección anti-ransomware y recuperación

• Bloqueo automático de intentos de cifrado.

• Copias de seguridad inmutables y recuperación con un solo clic.

4. Gestión de parches y vulnerabilidades

• Detección y corrección de fallos como CVE-2023-27532 y CVE-2024-21762.

• Actualizaciones automatizadas para VPNs, firewalls y herramientas remotas.

5. Formación y simulación

• Capacitación contra phishing e ingeniería social.

• Simulaciones de ataques reales para preparar al personal.

Cy-Napea® no es solo una herramienta — es una fortaleza digital para empresas modernas.

Resumen financiero

• Pérdidas estimadas para Tiger Communications: entre 5 y 12 millones de dólares, según benchmarks del sector y nivel de afectación.

• Ingresos estimados de Qilin: entre 35 y 45 millones de dólares en el primer semestre de 2025, basados en registros filtrados y modelos de pago a afiliados.

Tiger Communications no ha confirmado públicamente ni las pérdidas ni negociaciones con los atacantes.

Fuentes verificadas

• Qilin Ransomware: tácticas y mitigación – Daily Security Review

• Qilin Ransomware: métodos de ataque – CybelAngel

• Qilin Ransomware: TTPs detallados – Picus Security

• Qilin explicado – Qualys Blog

• Cy-Napea® – sitio oficial

• Aurora Consolidated Ltd. – perfil corporativo