Ransomware en Chile 2026: 8 Ataques en 4 Meses Que Cambiaron el Escenario

8 organizaciones atacadas por ransomware en Chile. 7 grupos criminales operando en paralelo. 4 meses. Salud, energía, logística, agroindustria, gobierno: Múltiples sectores atacados. Y Chile no es el único: Perú, Colombia y México enfrentan un aumento sostenido de ataques similares.

Lo más preocupante no es la cantidad de ataques, sino lo que revelan: Latinoamérica dejó de ser un blanco oportunista para convertirse en un objetivo activo y sostenido de grupos de ransomware internacionales.

En este artículo analizamos cada caso, los patrones que los conectan, las cifras que posicionan a la región como objetivo prioritario del ransomware global, y qué medidas concretas debe tomar tu empresa para protegerse.

¿Qué es el ransomware y cómo funciona la doble extorsión?

El ransomware es un tipo de software malicioso que cifra los archivos y sistemas de una organización, dejándolos completamente inaccesibles. Los atacantes exigen un pago (generalmente en criptomonedas) a cambio de devolver el acceso.

Pero en los últimos años, la táctica evolucionó hacia lo que se conoce como doble extorsión: Antes de cifrar, los atacantes copian toda la información sensible y amenazan con publicarla si no se paga el rescate. Esto significa que, incluso si una empresa tiene respaldos y puede recuperar sus sistemas, los datos confidenciales de sus clientes, empleados y operaciones ya están en manos de los atacantes.

Los 8 ataques que analizamos a continuación utilizaron este modelo.

Los 8 ataques de ransomware en Chile: Caso por caso

Ransomware en Chile: 8 ataques en 4 meses

7 grupos criminales operando en paralelo contra organizaciones de la región

#
Organización
Grupo atacante
Sector
Fecha
Impacto




1
Clínica privada
Devman
Salud
Dic 2025
250 GB exfiltrados, datos sensibles de pacientes


2
Empresa energética
Anubis
Energía
Ene 2026
Acceso a sistemas, contenido exitosamente


3
Organismo público
TheGentlemen
Gobierno
Feb 2026
Datos comprometidos según ANCI


4
Empresa agroindustrial
Qilin
Agroindustria
Ene 2026
Datos exfiltrados y publicados


5
Empresa comercial
Qilin
Comercio
Feb 2026
Datos exfiltrados y publicados


6
Empresa serv. digitales
Qilin
Servicios digitales
Feb 2026
Datos exfiltrados y publicados


7
Empresa alimentaria
Qilin
Alimentos
Feb 2026
Datos exfiltrados y publicados


8
Empresa de logística
Lynx / Minteye
Logística
Feb 2026
Comprometida por 2 grupos distintos

Fuente: CronUp Ciberseguridad, SERNAC, ANCI, medios nacionales / netprovider.com

1. Clínica privada de Santiago - Diciembre 2025 (Grupo Devman)

El caso más grave del período. El grupo Devman accedió a los sistemas de una reconocida clínica privada a través de una VPN con credenciales débiles, donde el nombre de usuario y la contraseña eran idénticos. El resultado: 250 GB de información exfiltrada, incluyendo fichas médicas, diagnósticos, resultados de exámenes, copias de cédulas de identidad y bases de datos operacionales.

El SERNAC ofició a la institución exigiendo información completa del incidente en 10 días hábiles. Los atacantes publicaron progresivamente los datos en la dark web al no recibir el pago, exponiendo información íntima de miles de pacientes.

2. Empresa del sector energético - Enero 2026 (Grupo Anubis)

En enero, el foco se desplazó al sector energético. El grupo Anubis logró acceso no autorizado a sistemas de almacenamiento de una de las compañías energéticas más grandes del país. La empresa logró contener el ataque y aseguró que los datos de clientes no se vieron comprometidos, pero el incidente demostró que ni las corporaciones más grandes de la región están fuera de alcance.

3. Organismo público - Febrero 2026 (Grupo TheGentlemen)

El ataque a un organismo público de derechos humanos, detectado el 4 de febrero, confirmó que las instituciones públicas también están en la mira. Aunque la entidad declaró que no hubo información comprometida, el análisis de la ANCI mostró lo contrario. TheGentlemen fue el segundo grupo de ransomware más activo a nivel mundial en febrero de 2026, con 78 víctimas confirmadas.

4. Empresa agroindustrial - Enero 2026 (Grupo Qilin)

El sector agroindustrial también fue blanco de Qilin, el grupo con mayor actividad en Chile durante este período. Datos exfiltrados y publicados en la dark web.

5. Empresa del sector comercial - Febrero 2026 (Grupo Qilin)

Segundo ataque de Qilin en Chile, esta vez contra una empresa del sector comercial. Descubierto el 12 de febrero.

6. Empresa de servicios digitales - Febrero 2026 (Grupo Qilin)

El mismo día que el caso anterior, Qilin también atacó a esta empresa de servicios digitales. Datos exfiltrados y publicados.

7. Empresa del sector agrícola y alimentario - Febrero 2026 (Grupo Qilin)

Cuarta víctima del grupo Qilin en Chile, en el sector de agricultura y producción de alimentos. La cadencia de cuatro ataques en menos de un mes confirma que no fue algo aleatorio, sino una campaña dirigida.

8. Empresa de logística en Santiago - Febrero 2026 (Grupos Lynx y Minteye)

Una empresa de logística con base en Santiago apareció en publicaciones de filtración de dos grupos distintos, lo que sugiere que su infraestructura fue comprometida por múltiples actores de forma simultánea o secuencial.

¿Qué patrones conectan estos 8 ataques?

Al analizar los ocho casos en conjunto, emergen patrones claros que toda empresa chilena debería conocer:

• Doble extorsión como estándar. Todos los grupos exfiltraron datos antes de cifrar, presionando con publicación progresiva en la dark web.
• Credenciales comprometidas como puerta de entrada. El caso del sector salud es emblemático: Un usuario y contraseña idénticos en una VPN dieron acceso a 250 GB de datos.
• Explotación de servicios cloud y SaaS. Varios ataques aprovecharon Microsoft 365 y plataformas cloud mal configuradas.
• 7 grupos operando en paralelo. Devman, Anubis, TheGentlemen, Qilin, Lynx y Minteye atacaron simultáneamente. Chile, al igual que otros países de la región, está en múltiples listas de objetivos.
• Múltiples sectores atacados. Salud, energía, gobierno, logística, agroindustria, comercio y servicios digitales fueron afectados.

Chile y Latinoamérica en la mira: Las cifras no mienten

La situación de Chile no es un fenómeno aislado. Toda la región enfrenta un aumento sostenido de ataques de ransomware:

• Brasil lidera con más de 549.000 intentos de ataque registrados, seguido de México (237.000) y Chile (más de 43.000).
• Perú se ubica entre los cinco países más atacados de la región, con un incremento significativo de incidentes que han afectado a sectores como gobierno, banca y telecomunicaciones.
• Colombia y Argentina también registran aumentos de doble dígito en intentos de ransomware, con grupos como Qilin y LockBit operando activamente en ambos mercados.
• Las organizaciones en Latinoamérica reciben en promedio 3.065 ataques semanales, un aumento de 26% respecto a 2024.
• A nivel global, los grupos de ransomware activos aumentaron 49% en un año.
• El costo promedio de un ataque supera los USD $4.5 millones considerando rescate, interrupción, pérdida de datos y daño reputacional.

El mensaje es claro: No importa en qué país de la región opere tu empresa. Los grupos de ransomware no distinguen fronteras.

¿Tu empresa está preparada? Checklist de autodiagnóstico

Evalúa rápidamente tu nivel de preparación frente a un ataque de ransomware. Marca cada punto que ya tengas cubierto:

• ‍Autenticación multifactor (MFA) activa en VPN, correo y plataformas cloud.
• Monitoreo de seguridad 24/7 (CyberSOC o SOC interno operando fuera de horario laboral).
• Respaldos offline o air-gapped probados en los últimos 90 días.
• Plan de respuesta a incidentes documentado, socializado y simulado.
• Gestión de vulnerabilidades con escaneos regulares y parches priorizados.
• Programa de concientización activo (simulaciones de phishing, capacitaciones periódicas).
• Proceso de reporte a la ANCI definido y en plazo (alerta temprana en 3 horas).

Resultado orientativo:

• 0-2 puntos: Riesgo crítico. Tu empresa está altamente expuesta. Necesitas actuar de inmediato.
• 3-4 puntos: Riesgo moderado. Tienes bases, pero hay brechas que los atacantes pueden explotar.
• 5-7 puntos: Nivel de preparación aceptable. Enfócate en mantener y mejorar continuamente.

¿Qué hacer si tu empresa es atacada por ransomware?

Si tu organización sufre un ataque, los primeros minutos son críticos:

1. Aislar los sistemas afectados. Desconectar equipos de la red para evitar la propagación lateral.
2. No pagar el rescate. Pagar no garantiza la recuperación de los datos y financia al crimen organizado.
3. Activar el plan de respuesta a incidentes. Si no tienes uno, este es el momento de entender por qué lo necesitas.
4. Reportar a la autoridad competente. En Chile, bajo la Ley Marco de Ciberseguridad (21.663), los OIV y servicios esenciales deben reportar en 3 horas (alerta temprana) y 72 horas (actualización completa). En Perú, el Centro Nacional de Seguridad Digital (CNSD) cumple un rol similar.
5. Preservar la evidencia. No reiniciar ni formatear equipos. La evidencia forense es fundamental.
6. Comunicar de manera transparente. A clientes, reguladores y stakeholders.

¿Qué exige la Ley Marco de Ciberseguridad ante estos ataques?

Estos ataques no ocurren en un vacío regulatorio. La Ley 21.663, vigente desde enero de 2025, establece obligaciones concretas para los Operadores de Importancia Vital (OIV). En diciembre de 2025, la ANCI publicó la nómina final de 915 OIV que deben cumplir con:

• Implementar un SGSI certificado.
• Designar un delegado de ciberseguridad.
• Mantener un plan de continuidad operacional.
• Reportar incidentes dentro de los plazos establecidos.

El plazo para acreditar estos requisitos vence aproximadamente en junio de 2026. Las multas por incumplimiento pueden alcanzar las 40.000 UTM (más de $2.800 millones de pesos chilenos).

Perú también avanza en regulación con la Ley de Ciberdefensa y las directrices del Centro Nacional de Seguridad Digital (CNSD), mientras que Colombia implementa su estrategia nacional de ciberseguridad con requisitos crecientes para sectores críticos. La tendencia regional es clara: Los marcos regulatorios se endurecen.

Los ataques de ransomware que analizamos en este artículo son la prueba de que estas exigencias no son burocracia: Son una necesidad urgente.

¿Cómo te protege un CyberSOC frente al ransomware?

Lo que estos cuatro meses dejaron en evidencia es que las herramientas aisladas y los equipos internos que solo operan en horario laboral no son suficientes para enfrentar amenazas de esta magnitud.

Un CyberSOC integra monitoreo 24/7, correlación de eventos con SIEM y SOAR, threat intelligence, threat hunting y capacidad de respuesta automatizada. No se trata solo de detectar un ataque, sino de contenerlo en minutos, preservar la evidencia y generar la trazabilidad que hoy exige la regulación.

¿Tu empresa necesita monitoreo continuo, respuesta ante incidentes o cumplir con la Ley Marco antes de junio?

En NetProvider, nuestro CyberSOC protege a organizaciones de sectores críticos en Chile y la región con detección 24/7, respuesta bajo el modelo NIST y alineación con las exigencias regulatorias vigentes. Porque en un escenario donde ocho organizaciones fueron atacadas en cuatro meses solo en Chile, y la tendencia se replica en toda Latinoamérica, la pregunta ya no es si te van a atacar, sino cuándo.

Contacta a Netprovider y convierte la amenaza del ransomware en resiliencia operativa.