Japón se quedó sin su cerveza favorita, Asahi, durante dos semanas debido a un ciberataque de ransomware del grupo ruso Qilin. El incidente paralizó la producción y los envíos, forzando a la compañía a recurrir a procesos manuales y a sus competidores a limitar pedidos. Con pérdidas estimadas en 335 millones de dólares y la sustracción de 27 gigabytes de información sensible, el ataque expuso la vulnerabilidad de infraestructuras críticas ante tácticas sofisticadas como los «captchas» falsos, mientras Qilin consolida su modelo de «Ransomware como Servicio».
Un ciberataque, de esos que creíamos reservados para los thrillers de Hollywood, dejó a Japón, la cuarta potencia económica global, con un sabor amargo en la boca. Durante dos semanas, bares, restaurantes y licorerías de todo el archipiélago se encontraron con una escasez inaudita: la cerveza Asahi, que ostenta un rotundo 40% del mercado, simplemente desapareció de las góndolas. La parálisis en su producción y envíos no solo afectó a la marca líder, sino que generó un efecto dominó, haciendo que competidores como Kirin o Sapporo se vieran desbordados y obligados a rechazar pedidos, dejando a los sedientos nipones en una encrucijada sin burbujas.
El golpe llegó el 29 de septiembre. Un software malicioso, de tipo ransomware, atribuido al oscuro grupo ruso Qilin, no solo encriptó y bloqueó los sistemas de Asahi, sino que forzó el cierre de seis de sus fábricas y de una treintena de otras instalaciones. La visión era casi surrealista: la cuarta economía del mundo, una potencia tecnológica, se veía obligada a retroceder en el tiempo. Con los ordenadores paralizados, la compañía tuvo que gestionar pedidos y logística "a la vieja usanza": bolígrafo y papel, y avisando a los clientes vía fax sobre los camiones listos para partir. Una postal que evoca más al siglo pasado que a la hiperconectividad del presente.
La consecuencia fue inmediata y dolorosa para los consumidores. En apenas dos días, las estanterías de los supermercados quedaron vacías. Los bares y restaurantes, acostumbrados a la omnipresencia de la Asahi, se encontraron sin la cerveza predilecta de los japoneses. La debacle no solo afectó la cadena de suministro; la propia Asahi reportó la imposibilidad de recibir correos electrónicos y, como si fuera poco, debió posponer la crucial presentación de sus resultados trimestrales. Un bochorno digital que se tradujo en pérdidas tangibles y un golpe a su imagen pública.
La recuperación, eso sí, fue paulatina. Primero, la icónica Super Dry comenzó a salir a flote, y para el 10 de octubre, todas las plantas habían reabierto, aunque operando a capacidad reducida. La empresa, con una cautela digna de la cultura japonesa, aún no ha confirmado un regreso total a la normalidad. "Quisiera expresar mis más sinceras disculpas por cualquier dificultad causada a nuestros interesados por la reciente interrupción del sistema. Agradecemos su comprensión y apoyo", declaró Atsushi Katsuki, presidente del grupo, en un comunicado que buscó calmar las aguas tras la tempestad digital.
El imperio Asahi no es solo cerveza; abarca desde refrescos y alimentos hasta bebidas espirituosas. Afortunadamente, el alcance del ataque se limitó a Japón, dejando indemnes sus operaciones europeas que incluyen marcas como Peroni o Pilsner Urquell. Sin embargo, el costo fue altísimo: las pérdidas directas por la interrupción productiva se calculan en unos 335 millones de dólares. Pero el daño no fue solo económico. Los ciberdelincuentes se alzaron con 27 gigabytes de información: 9.300 archivos que van desde documentos financieros y presupuestos confidenciales hasta contratos, pronósticos de desarrollo e informes internos, sin olvidar datos personales de los empleados. Una pequeña muestra de este botín digital ya fue colgada en la dark web por el grupo Qilin, como una clara señal de advertencia.
El ciberataque que dejó a Japón sin su cerveza favorita
Radiografía de un ataque sofisticado: ¿cómo lo lograron?
La pregunta que se impone es obvia: ¿cómo fue posible que un puñado de hackers dejara a toda una nación sin su bebida emblema? David Sancho, investigador senior de amenazas en Trend Micro, arroja luz sobre esta hazaña digital: "Los atacantes ejecutaron una campaña muy sofisticada, donde una variante de un ransomware Linux infectó sistemas Windows mediante la utilización de herramientas legítimas de gestión de red en remoto". La puerta de entrada a la fortaleza de Asahi fue, irónicamente, algo tan cotidiano como un captcha falso. Esos pequeños desafíos visuales que nos exigen identificar semáforos o vehículos para demostrar nuestra humanidad se convirtieron en la trampa. Al hacer clic en estos captchas amañados, que aparecían en los equipos de personal clave de Asahi, "se instalaba un malware que robaba las contraseñas de la red, lo que permitió que luego las utilizaran para el resto del ataque. Durante este, se inutilizaron las copias de seguridad y los sistemas de recuperación de desastres", detalla Sancho. Una maniobra que desvela la fragilidad de nuestras defensas digitales más básicas.
Una vez que tuvieron acceso, los atacantes se movieron con sigilo por los sistemas, buscando y exfiltrando información sensible antes de cifrarla. Pero la astucia del grupo Qilin va más allá de un simple rescate. La extorsión, se ha descubierto, tiene una doble faceta. Nethaniel Ribco, responsable global de amenazas cibernéticas de UST CyberProof, revela un detalle escalofriante: "Los investigadores que mantuvieron conversaciones privadas con operadores de Qilin descubrieron que, además de pedir un rescate, también intentaron vender los datos robados a Asahi por 10 millones de dólares". Esta exigencia, recibida el 11 de octubre, parece una estrategia para saltarse intermediarios y exacerbar la presión sobre la víctima. Un nuevo nivel de cinismo en el lucrativo mundo del cibercrimen.
Qilin: la industrialización del cibercrimen y la doble extorsión
Qilin, un nombre que evoca a una criatura mitológica china —un ser de fuego con cuerpo de león, escamas de pez y cuernos de ciervo—, curiosamente no tiene origen asiático. Su código escrito en ruso y la particularidad de que sus afiliados eviten atacar objetivos en la Comunidad de Estados Independientes, apuntan directamente a un origen en el gigante euroasiático. Josep Albors, director de investigación y concienciación de ESET España, va más allá: "Hay varios indicios que apuntan a que tendría algún tipo de relación con otros grupos rusos de ciberdelincuentes como Scattered Spiders o grupos norcoreanos". Un entramado complejo que desafía las fronteras y nos obliga a cuestionar la geopolítica del ciberespacio.
Y la cerveza Asahi no fue su primera víctima de gran calado. Antes de golpear a los japoneses, Qilin ya había dejado su huella en junio de 2024, extorsionando a Synnovis, una empresa médica británica vital para el diagnóstico y la patología de varios hospitales londinenses. Allí exigieron un rescate de 50 millones de dólares para no exponer 400 gigabytes de datos robados. Las consecuencias de aquel ataque fueron dramáticas: la cancelación de más de 6.000 citas médicas y una alarmante escasez de donaciones de sangre. Un historial que demuestra que para Qilin, cualquier objetivo es válido, sin importar las vidas que pueda afectar.
Lo que realmente distingue a Qilin en el saturado universo del cibercrimen es su modelo de "negocio". Lejos de operar como una célula aislada, ofrecen su software malicioso como un servicio, una especie de franquicia del delito, a cualquier hacker que logre infiltrarse en una red corporativa. Eusebio Nieva, director técnico de Check Point para España y Portugal, lo explica con claridad: "Proporciona a los afiliados todas las herramientas e infraestructura necesarias para lanzar los ataques y, a cambio, se embolsan entre 15% y 20% de los rescates pagados". Es la industrialización del ransomware, una máquina de hacer dinero que democratiza la extorsión digital.
Esta lógica de brindar herramientas para el saqueo digital, casi como quien contrata a un profesional para un trabajo, les ha permitido industrializar el ransomware y escalar su operatoria a niveles alarmantes. "Operan con un programa que denominamos Ransomware as a Service", remarca David Sancho, de Trend Micro, el laboratorio que identificó a Qilin en agosto de 2022. Este modelo de negocio criminal los ha catapultado a la cima de las amenazas globales en su categoría. En el tercer trimestre de 2025, Trend Micro contabilizó 402 ataques exitosos atribuidos a Qilin, lo que representa un significativo 21% del total. Josep Albors de ESET España, subraya sus fortalezas: "Qilin es uno de los grupos más activos actualmente. Entre sus puntos fuertes observamos que es un ransomware multiplataforma, puesto que también se han observado ataques contra servidores Linux además de sistemas Windows. Tiene cierta fama con el aprovechamiento de vulnerabilidades en dispositivos de red, como routers o firewalls". Además de su versatilidad, Qilin ha demostrado ser notablemente escurridizo. Hervé Lambert, de Panda Security, lo sintetiza: "La infraestructura de Qilin está diseñada para resistir: mantienen webs de filtración (leak sites) y centros de mando alojados en servicios a prueba de cierres, a menudo en países que no colaboran con las investigaciones". Una amenaza persistente que nos invita a reflexionar sobre la verdadera seguridad en un mundo cada vez más interconectado.
