Ransomware Chile Q1 2026: 13 organizaciones atacadas

Q: ¿Cuál es el rescate promedio que pagan las empresas atacadas por ransomware?

Según el reporte Sophos State of Ransomware 2025, el pago promedio de rescate cayó a USD 1 millón en 2025 (la mitad de los USD 2 millones de 2024), y el costo promedio de recuperación bajó a USD 1,53 millones. Sin embargo, el 38% de las empresas que pagaron terminaron desembolsando más del rescate inicial porque sus backups fallaron. En Chile, el caso Copec mostró una negociación fallida con demanda inicial de USD 6 millones.

Q: ¿Qué sanciones aplica ANCI por incumplir la Ley 21.663 en Chile?

Las sanciones para Operadores de Importancia Vital (OIV) parten en multas leves de hasta 10.000 UTM (USD 740 mil aproximadamente), graves de hasta 20.000 UTM (USD 1,48 millones) y gravísimas de hasta 40.000 UTM (USD 2,95 millones, equivalentes a 2.781 millones de pesos chilenos). Para servicios esenciales que no son OIV, las multas son la mitad. La gravedad se determina por el tipo de incumplimiento y el daño causado.

Q: ¿Cómo se vinculan los grupos Qilin, Anubis y Devman con las víctimas chilenas?

Qilin opera como ransomware-as-a-service (RaaS) desde 2022 y explota vulnerabilidades en FortiGate y SAP NetWeaver, sumando más de 1.000 víctimas globales en 2025. Anubis es un grupo más reciente, identificado en el ataque a Copec por exfiltrar 6 TB vía VPN corporativa vulnerable. Devman emergió en abril 2025 como posible rebranding de un grupo previo, con más de 40 víctimas globales confirmadas, incluida Clínica Dávila en Chile.

En resumen: Entre diciembre 2025 y marzo 2026, al menos 13 organizaciones chilenas fueron atacadas y publicadas en sitios de filtración de ransomware por grupos como Qilin, Anubis y Devman. Casos como Copec (6 TB exfiltrados) y Clínica Dávila (250 GB de datos clínicos) marcan el cambio de escala. La Ley 21.663 exige alerta a ANCI en 3 horas y aplica multas hasta USD 2,95 millones para OIV que incumplan.

El primer trimestre de 2026 cerró con un patrón inédito en ciberseguridad chilena: nueve grupos distintos de ransomware publicaron víctimas locales en sus sitios de filtración en cuatro meses, según el monitoreo de CronUp. El conteo verificado supera las 13 organizaciones, con casos emblema en salud (Clínica Dávila), energía (Copec) y derechos humanos (INDH).

Este análisis cubre quiénes son los atacantes, qué pasó en cada caso confirmado, qué obligaciones gatilla la Ley 21.663 cuando ocurre el incidente, y qué medidas concretas separaron a las empresas que controlaron el daño de las que terminaron pagando rescate.

estrategia preventiva con backup inmutable

Key Takeaways:

13 organizaciones chilenas confirmadas como víctimas de ransomware en Q1 2026 (CronUp/NetProvider)

Qilin, Anubis y Devman lideran los ataques con vectores de VPN, FortiGate y SAP NetWeaver

Ley 21.663 IG N°4 obliga a OIV a enviar alerta a ANCI en máximo 3 horas

Sanciones gravísimas para OIV alcanzan 40.000 UTM (≈ USD 2,95 millones)

38% de las empresas que pagaron rescate lo hicieron porque sus backups fallaron (Sophos 2025)

¿Qué pasó con el ransomware en Chile durante Q1 2026?

Durante el primer trimestre de 2026 se publicaron 13 organizaciones chilenas en sitios de filtración de ransomware, distribuidas entre nueve grupos distintos según el monitoreo de CronUp. El cluster más concentrado fue Qilin, con cinco víctimas confirmadas en Chile en pocas semanas. Lo notable no es solo el volumen sino la concentración temporal: nueve grupos coordinando ataques en un país relativamente pequeño en cuatro meses no es coincidencia, es patrón.

Los casos públicos confirmados incluyen Clínica Dávila (Devman, 250 GB), Copec (Anubis, 6 TB), Conectados Chile (Qilin), Valbifrut (Qilin), Ducasse Comercial (Qilin), Graneles de Chile (Qilin), Noi Hotels (Qilin), INDH (TheGentlemen) y Keylogistics (multi-grupo). Los sectores cubiertos abarcan salud, energía, retail, alimentos, logística, hospitalidad y derechos humanos.

A nivel global el contexto refuerza la lectura: Fortinet reportó un incremento del 389% en víctimas globales de ransomware en 2025 respecto al año anterior (El Ciudadano sobre Fortinet 2026 Threat Report, abril 2026), pasando de 1.600 víctimas en 2024 a 7.831 en 2025. Chile ya no es un mercado periférico para los grupos RaaS: es objetivo activo.

Dato clave: En Q1 2026, nueve grupos distintos de ransomware publicaron al menos 13 víctimas chilenas en sus sitios de filtración en solo cuatro meses, según el conteo de CronUp y NetProvider (febrero–marzo 2026). El grupo Qilin concentra cinco de esas víctimas, posicionando a Chile como uno de los blancos prioritarios del afiliado más activo del año.

¿Quiénes son Qilin, Anubis y Devman?

Qilin, Anubis y Devman son tres grupos de ransomware con modelos operativos distintos pero con un patrón común: doble extorsión (cifran datos y amenazan con filtrarlos), infraestructura RaaS (ransomware-as-a-service) que recluta afiliados, y vectores que apuntan a vulnerabilidades de borde como VPN corporativas, FortiGate y SAP NetWeaver. Conocer cada perfil es necesario para anticipar TTPs y priorizar parches.

Qilin: el más prolífico de 2025

Qilin opera como RaaS desde 2022. En 2025 superó las 1.000 víctimas globales y arrancó 2026 sumando 55 nuevas víctimas en las primeras semanas del año, según Barracuda. Sus afiliados explotan principalmente phishing dirigido y vulnerabilidades en FortiGate (CVE-2024-21762, CVE-2024-55591) y SAP NetWeaver (CVE-2025-31324), según el análisis de CIS sobre Qilin. El payload está escrito en Rust y C, agrega DDoS al modelo de doble extorsión desde 2025, y publica víctimas con cuenta regresiva pública.

En Chile, Qilin reclamó cinco víctimas en Q1 2026, incluyendo Conectados Chile (publicada el 12 de febrero, confirmado por HookPhish), Valbifrut, Ducasse Comercial, Graneles de Chile y Noi Hotels. La concentración sectorial sugiere campañas dirigidas, no oportunismo aleatorio.

Anubis: el caso Copec y la negociación fallida

Anubis es un grupo más reciente que ganó visibilidad con el ataque a Copec en enero de 2026. Según BiobioChile, exfiltraron 6 TB de datos por una vulnerabilidad de VPN corporativa y demandaron USD 6 millones. La negociación pública fue ilustrativa: Copec ofreció USD 120.000 inicialmente, subió a USD 400.000, y Anubis rechazó. La compañía confirmó que el incidente quedó contenido y mantuvo operación de estaciones de servicio, pero los datos seguramente terminaron filtrados.

Devman: el atacante de Clínica Dávila

Devman emergió en abril 2025, posiblemente como rebranding de un grupo previo, según el análisis de CronUp. Acumula más de 40 víctimas globales confirmadas. El caso chileno más visible fue Clínica Dávila a fines de diciembre de 2025: 250 GB exfiltrados incluyendo datos de pacientes, exámenes médicos y cédulas, reportado por BiobioChile. El vector de entrada documentado fue una VPN con credenciales débiles tipo usuario igual a contraseña. El SERNAC emitió oficio formal a la clínica por la filtración.

shadow IT y fuga de datos en Chile

¿Cómo se distribuyen los ataques de Q1 2026 por grupo?

La distribución concreta de víctimas chilenas por grupo en Q1 2026 muestra un dominio de Qilin que coincide con su liderazgo global, pero con un componente significativo de actividad de grupos secundarios y emergentes:

La categoría “Otros” agrupa cinco víctimas reclamadas por grupos como Lynx, Minteye y otros operadores menores que cada uno suma una víctima individual. La interpretación importante es que ya no se trata de un solo grupo dominante: el ecosistema RaaS descentralizado significa más afiliados activos compitiendo por blancos en Chile simultáneamente.

¿Qué exige la Ley 21.663 cuando ocurre un incidente?

La Ley 21.663 marca un piso obligatorio: los Operadores de Importancia Vital (OIV) y servicios esenciales deben notificar a ANCI dentro de las primeras 3 horas desde que toman conocimiento de un ciberataque, según la Instrucción General N°4 de ANCI publicada el 26 de diciembre de 2025. La alerta temprana se envía a través del portal anci.gob.cl con autenticación de Clave Única, según la comunicación oficial de ANCI.

El plazo de 3 horas no es arbitrario. Mandiant reportó en su M-Trends 2025 que el dwell time mediano para incidentes de ransomware bajó a 6 días, con 56,5% de las intrusiones detectadas en menos de una semana. ANCI exige acelerar ese tiempo de detección a horas, no días, lo que solo es viable con monitoreo 24/7 y herramientas de detección configuradas previamente.

Además de la alerta temprana, la IG N°4 obliga a tres tipos de medidas inmediatas dentro de las 3 horas: cambio de credenciales administrativas, deshabilitación de accesos remotos y aislamiento de los sistemas comprometidos. La revisión preventiva de la postura de seguridad debe hacerse cada 6 meses como mínimo. El análisis de Carey Abogados detalla las obligaciones técnicas vinculadas a cada IG.

obligaciones específicas de la Ley 21.663 OIV

¿Cuánto cuestan las multas por incumplir la Ley 21.663?

Las sanciones para OIV escalan en tres niveles según la gravedad del incumplimiento, en valores de Unidades Tributarias Mensuales (UTM). Una multa leve para OIV parte en 10.000 UTM, una grave llega a 20.000 UTM, y una gravísima alcanza 40.000 UTM, equivalentes aproximadamente a 2.781 millones de pesos chilenos o USD 2,95 millones según Firewall Chile. Para servicios esenciales que no son OIV las multas son la mitad de cada nivel, y se aplican según el daño causado, la reincidencia y la cooperación con ANCI durante el incidente.

Dato clave: El plazo de 3 horas para alerta temprana a ANCI es uno de los más exigentes a nivel global y supera la mediana de dwell time de ransomware de 6 días reportada por Mandiant M-Trends 2025. Cumplirlo requiere infraestructura de detección 24/7 ya operando, no instalada después del incidente.

¿Cómo se ve el incidente desde adentro? Casos Copec y Dávila

Los dos casos chilenos más visibles entregan lecciones operativas distintas. Copec logró contener el incidente y mantener operaciones gracias a segmentación previa entre TI y operación de estaciones, según El Mostrador. La pérdida fue reputacional y de datos exfiltrados, no operacional. La negociación con Anubis se hizo pública por filtración del propio grupo y mostró el patrón clásico: oferta inicial muy baja, escalada a oferta intermedia, rechazo del atacante porque ya tenía los datos.

Clínica Dávila ilustra el otro extremo: el vector de entrada fue una VPN con credenciales triviales (usuario igual a contraseña). Una vez dentro, Devman exfiltró 250 GB en cuestión de horas. La gestión post-incidente involucró notificación a SERNAC, contención técnica y comunicación a pacientes afectados. La filtración pública de datos clínicos constituyó la pérdida más grave porque incluía exámenes médicos y datos de salud sensibles.

Observación de campo: En proyectos de respuesta a incidentes que hemos acompañado durante 2025-2026 en Chile, el factor que más diferencia a las empresas que controlan el daño de las que pagan rescate es la existencia de backups inmutables verificados antes del incidente. La frase “tenemos backups” sin validación reciente es uno de los autoengaños más caros de la industria. El 38% de las empresas que pagaron rescate en 2025 lo hicieron porque sus backups fallaron al momento de restaurar, según Sophos.

¿Qué hacer en las primeras 3 horas tras detectar un ataque?

Las primeras 3 horas tras detectar un incidente de ransomware definen el alcance del daño. La secuencia validada combina lo que exige la Ley 21.663 IG N°4 con las mejores prácticas de respuesta a incidentes documentadas por Sophos y Mandiant:

Minutos 0-30 — Contención inmediata:

Aislar los sistemas comprometidos de la red (desconectar interfaces, no apagar)
Deshabilitar accesos remotos (VPN, RDP, herramientas de gestión remota)
Cambiar credenciales administrativas y revocar tokens activos
Activar el equipo de respuesta a incidentes interno o el contrato con SOC externo

Minutos 30-90 — Evaluación inicial:

Identificar qué sistemas están cifrados y cuáles solo comprometidos
Confirmar si hay exfiltración de datos (revisar tráfico saliente reciente)
Identificar el vector de entrada (parches faltantes, credenciales filtradas, phishing)
Documentar todo en log estructurado para reporte a ANCI

Minutos 90-180 — Notificación obligatoria:

Enviar alerta temprana a ANCI vía portal anci.gob.cl con Clave Única
Notificar a la dirección ejecutiva con resumen técnico y de impacto
Activar plan de comunicación interna (no externa todavía)
Si hay datos personales, evaluar notificación a SERNAC y Agencia de Protección de Datos

plan de continuidad operacional para incidentes

Posteriores a las 3 horas pero críticas dentro de las primeras 24-72 horas:

Restauración desde backups inmutables verificados
Comunicación pública a clientes y stakeholders
Coordinación con CSIRT del Gobierno de Chile y ANCI
Reporte completo del incidente a ANCI dentro de 72 horas

Dato clave: El 38% de las organizaciones que pagaron rescate en 2025 terminaron desembolsando más del rescate inicial porque sus backups fallaron al intentar restaurar, según el reporte Sophos State of Ransomware 2025. El backup que no se prueba bajo condiciones de incidente real no es backup, es esperanza.

¿Qué patrones se repiten en los incidentes Q1 2026?

Cuatro patrones se repiten en los incidentes chilenos del trimestre, y cada uno representa un punto de mitigación concreto antes de que ocurra el próximo ataque:

Vector de entrada más común: VPN y credenciales débiles. Tanto el caso Clínica Dávila como Copec confirmaron entrada vía VPN. En Dávila las credenciales eran triviales; en Copec se aprovechó una vulnerabilidad sin parchar. La mitigación es MFA obligatorio en VPN, rotación de credenciales privilegiadas y patching agresivo de equipos perimetrales.

Tiempo de exfiltración mucho más corto que el de detección. Devman exfiltró 250 GB en horas, no en días. El monitoreo de tráfico saliente y DLP reactivo ya no alcanza: se necesita detección de comportamiento anómalo en tiempo real con respuesta automática.

Doble extorsión es el estándar. Los tres grupos analizados aplican doble extorsión (cifrado más amenaza de filtración). Tener backups perfectos no protege contra la filtración pública de datos. La defensa requiere cifrado en reposo, segmentación de datos sensibles y reducción del blast radius.

Sectores prioritarios: salud, energía, retail, logística. No es casualidad. Son sectores con baja tolerancia a downtime (incentivo a pagar) o con datos sensibles (incentivo a chantaje). El sector salud aparece en el top 1 de víctimas según la ENISA Threat Landscape 2025, con ransomware concentrando 81,1% de los incidentes de cibercrimen en la UE.

Conclusión: la ola Q1 es la nueva línea base, no un pico

Los 13 ataques visibles en cuatro meses no son un pico aislado. Son la nueva línea base de exposición de la infraestructura digital chilena, validada por el incremento global del 389% en víctimas de ransomware durante 2025. Los grupos RaaS encontraron en Chile un mercado con superficie de ataque amplia, plazos regulatorios que recién se están materializando y empresas todavía midiendo si su backup realmente funciona bajo presión.

La Ley 21.663 y la IG N°4 ANCI elevaron el piso normativo: 3 horas para alerta, 72 para reporte, multas hasta USD 2,95 millones. Pero la diferencia entre cumplir la norma y sobrevivir al incidente está en lo que se hace antes: backups inmutables verificados, segmentación efectiva, MFA en todo perímetro y detección 24/7 con runbook accionable.

Para las organizaciones que aún no se han hecho la pregunta incómoda, el primer paso no es comprar más herramientas, es probar el plan que ya existe contra un escenario realista. Si tu última prueba de restauración fue hace más de 90 días, ese es el primer punto a corregir antes de que el próximo grupo en la lista te tenga en el radar.

Preguntas frecuentes sobre ransomware en Chile Q1 2026

¿Cuántas organizaciones chilenas fueron atacadas por ransomware en Q1 2026?

Al menos 13 organizaciones chilenas fueron publicadas en sitios de filtración de ransomware entre diciembre 2025 y marzo 2026, según el monitoreo de CronUp y NetProvider. Los grupos más activos fueron Qilin (con 5 víctimas confirmadas), Anubis (Copec), Devman (Clínica Dávila) y TheGentlemen (INDH). Los sectores más golpeados fueron salud, energía, retail y logística.

¿Cuánto tiempo tiene una empresa para reportar un incidente bajo Ley 21.663?

Bajo la Ley 21.663 y la Instrucción General N°4 de ANCI, los OIV y servicios esenciales deben enviar una alerta temprana en un plazo máximo de 3 horas desde que se tiene conocimiento del ciberataque. Esta alerta se envía a través del portal anci.gob.cl con Clave Única. El reporte completo del incidente debe entregarse dentro de las 72 horas siguientes (ANCI).

¿Cuál es el rescate promedio que pagan las empresas atacadas por ransomware?

Según Sophos State of Ransomware 2025, el pago promedio cayó a USD 1 millón en 2025 (la mitad de los USD 2 millones de 2024), con costo total de recuperación promedio de USD 1,53 millones. Sin embargo, el 38% de las empresas que pagaron terminaron desembolsando más del rescate inicial porque sus backups fallaron. En Chile, el caso Copec mostró una negociación fallida con demanda de USD 6 millones.

¿Qué sanciones aplica ANCI por incumplir la Ley 21.663 en Chile?

Las sanciones para OIV parten en multas leves de hasta 10.000 UTM (≈ USD 740 mil), graves de hasta 20.000 UTM (≈ USD 1,48 millones) y gravísimas de hasta 40.000 UTM (≈ USD 2,95 millones, equivalentes a 2.781 millones de pesos chilenos), según Firewall Chile. Para servicios esenciales no OIV las multas son la mitad. La gravedad se determina por el tipo de incumplimiento y el daño causado.

¿Cómo se vinculan los grupos Qilin, Anubis y Devman con las víctimas chilenas?

Qilin opera como ransomware-as-a-service desde 2022 y explota vulnerabilidades en FortiGate y SAP NetWeaver, con más de 1.000 víctimas globales en 2025 (Barracuda). Anubis es un grupo más reciente, identificado en el ataque a Copec por exfiltrar 6 TB vía VPN corporativa vulnerable. Devman emergió en abril 2025 como posible rebranding de un grupo previo, con más de 40 víctimas globales confirmadas, incluida Clínica Dávila en Chile.