Threat Intelligence Report · Mar 2024 – Jun 2026 · 255+ incidentes analizados
🛡 Informe generado por el equipo Threat Intelligence de Q-Mission
Las siguientes técnicas han sido identificadas en los incidentes analizados, mapeadas al framework MITRE ATT&CK Enterprise v14.
Múltiples actores realizaron escaneos masivos de dominios .cl en busca de directorios .git expuestos, phpMyAdmin sin autenticación, y endpoints REST/GraphQL sin protección. Herramientas como Shodan, FOFA y scripts automatizados de búsqueda de repositorios fueron identificados como vectores de reconocimiento previo.
Uso de motores de búsqueda especializados (Shodan, Censys, FOFA) para identificar servicios expuestos, versiones vulnerables de software y configuraciones incorrectas en infraestructura chilena antes de ejecutar ataques.
Vector más frecuente en Chile. Explotación de aplicaciones web expuestas a internet: paneles phpMyAdmin sin autenticación, APIs REST sin control de acceso, endpoints de backups accesibles públicamente, y sistemas de gestión de contenido desactualizados (WordPress nulled).
Campañas de phishing altamente dirigidas identificadas, incluyendo la suplantación del SII para distribuir LummaStealer (malware stealer) y la suplantación de SUBTEL para robar biométricos y ClaveÚnica. Destaca el abuso de servidores legítimos comprometidos para evadir filtros SPF/DKIM/DMARC.
Dos casos notables de ataque a la cadena de suministro de software: (1) el script polyfill.io comprometido que afectó a Santander Móvil y Unired.cl, y (2) CAS-CHILE — proveedor de sistemas para múltiples municipalidades — comprometido, exponiendo simultáneamente los sistemas internos de decenas de municipios chilenos.
Uso de credenciales robadas o filtradas para acceso inicial. En varios incidentes se encontraron credenciales de producción expuestas en repositorios .git públicos o en archivos de configuración accesibles, que fueron posteriormente utilizadas. También se documentó la venta de acceso VPN/RDP con credenciales válidas de Domain Admin.
Ejecución de código remoto (RCE) documentada en Lipigas y en el servidor SCADA de Aguas y Riles. Los actores ejecutaron comandos a través de vulnerabilidades en aplicaciones web y configuraciones incorrectas de servidores que permitían ejecución arbitraria de código.
Defacement masivos de sitios web (.cl) sugieren instalación de webshells para mantener acceso. Las campañas de l4663r666h05t (mar 2026) y k3nzou (abr 2025) comprometieron más de 15 y 12 dominios respectivamente, indicando infraestructura de acceso persistente.
En incidentes de NIC Chile se documentó la modificación de registros DNS, lo que implica acceso con privilegios administrativos y posible creación de cuentas de backdoor. El grupo Rutify reclamó tener credenciales administrativas de múltiples entidades gubernamentales chilenas.
Venta de accesos RDP y SSH en foros de cibercrimen permite inferir movimiento lateral previo a la exfiltración. El incidente de Isapre Colmena mostró comprometimiento de hipervisores que dio acceso a múltiples máquinas virtuales simultáneamente.
Exfiltraciones masivas documentadas con volúmenes que van desde gigabytes hasta terabytes. Los grupos de ransomware modernos (Qilin, LockBit 5.0, Akira) operan en modo "doble extorsión": cifran datos localmente y exfiltran simultáneamente para presionar con publicación.
Grupos de ransomware publican datos en sus sitios TOR (.onion) como mecanismo de extorsión. Se documentaron publicaciones en los leak sites de RansomHub, Hunters International, Qilin, LockBit 5.0 y otros, con datos de organizaciones chilenas accesibles en la dark web.
Ransomware es el vector de mayor impacto operacional en Chile 2024–2026. El grupo Qilin es el más prolífico con más de 13 víctimas confirmadas. LockBit 5.0 emergió como nueva variante activa en 2026 (Clínica Dávila, ISESA). Los sectores más afectados son gobierno, salud y logística.
Ataques DDoS coordinados contra infraestructura crítica chilena. El grupo RSA CRACKERS realizó DDoS simultáneo contra PDI y ClaveÚnica (sistema de identidad nacional), dejando servicios inaccesibles durante horas. También se registraron DDoS contra SERVEL durante período electoral.
El grupo Akira en el caso Grupo Defensa (estudio jurídico, may 2026) eliminó los datos cifrados como táctica de presión extrema, sin opción de recuperación local. Este comportamiento "wiper" representa una evolución táctica hacia la destrucción total como palanca de negociación.
Patrón recurrente y sistémico en el ecosistema digital chileno: credenciales hardcodeadas en código fuente, archivos de configuración accesibles vía .git expuesto, y secretos API embebidos en JavaScript del front-end. Este es el vector de exposición más común en organizaciones PYME y del sector público.
El malware LummaStealer distribuido via servidores del SII (may 2025) es un info-stealer especializado en robo de cookies de sesión, credenciales guardadas en navegadores, wallets de criptomonedas y tokens de autenticación. Su distribución a través de infraestructura legítima del Estado maximizó la tasa de infección.
La exposición de directorios web (Open Directory) permitió a actores enumerar el contenido completo de servidores sin autenticación. Casos como Hospedar.cl, múltiples municipalidades y empresas privadas expusieron backups, logs, archivos de configuración y dumps de bases de datos directamente accesibles via HTTP.
El ransomware pasó de ser incidental a ser el vector dominante. En 2024 se registraron ~15 ataques de ransomware; en 2025 más de 35; y en el primer semestre de 2026 ya supera esa cifra. El modelo RaaS (Ransomware-as-a-Service) permite que grupos como Qilin (el más activo con 13+ víctimas chilenas), Akira, LockBit 5.0 y RansomHub operen con afiliados locales que conocen el mercado objetivo. Chile, con su economía relativamente robusta, se convierte en blanco rentable. La doble extorsión (cifrado + exfiltración) es estándar en el 100% de los casos confirmados de 2025–2026.
Durante todo el período analizado (2024–2026), la exposición accidental de directorios .git en servidores de producción es el hallazgo más recurrente. Afecta a entidades de todos los sectores: Metro de Santiago, FOJI, Comisaría Virtual de Carabineros, Bomberos, múltiples municipalidades, universidades y empresas privadas. Este vector permite a cualquier actor extraer código fuente, credenciales hardcodeadas, historial de commits y claves de API sin necesidad de explotar vulnerabilidades complejas. Indica un problema estructural en las prácticas de despliegue de software en Chile.
El período evidencia un aumento en ataques dirigidos a infraestructura crítica: Aguas y Riles (acceso SCADA vendido por $250, feb 2025), EFE ferrocarriles (panel operaciones reclamado, abr 2026), Lipigas (RCE posible + 4 incidentes confirmados), PDI y ClaveÚnica (DDoS coordinado, may 2026), y SII (servidores abusados para malware masivo, may 2025). La brecha entre la sofisticación de los ataques y la resiliencia de los sistemas OT/ICS es preocupante.
Dos patrones de supply chain attack destacan: (1) Proveedores de software para el Estado: CAS-CHILE comprometido en jun 2024 y abr 2025, exponiendo simultáneamente los sistemas intranet de decenas de municipalidades. (2) CDN y scripts de terceros: el script polyfill.io comprometido (jun 2024) afectó a Santander Móvil y Unired.cl. El ataque a la cadena de suministro multiplica el impacto por N al comprometer a un único proveedor central con múltiples clientes.
Emerge un ecosistema de grupos hacktivistas locales con capacidades crecientes: System Rippers (Municipalidad La Florida, Armada, La Serena, Poder Judicial), NemorisHacking (SSAS salud, Codiner, EFE), Rutify (SERVEL, SAG, TGR, ClaveÚnica), RSA CRACKERS (PDI + ClaveÚnica DDoS), VLeaks (Gobierno Regional Araucanía), y la alianza SoulHemTeam/Vansel/Osintlarper (USACH). Se observa coordinación entre grupos, intercambio de herramientas y publicación de datos en canales de Telegram. La motivación es predominantemente reputacional y de presión política.
El sector salud es el más vulnerado de manera sostenida: RedSalud (×2), Diagomed, CIREN, Clínica Araucaria, Isapre Colmena, IMED (66K archivos), FALP (hospital oncológico), Servicio de Salud Arauco, ISP, Care Assistance (2.4M usuarios), Servicio de Salud Araucanía Sur, Pharmatender, Clínica Dávila (LockBit 5.0), Clínica Maitenes (800 GB). Los atacantes priorizan salud por (1) sensibilidad de los datos, (2) urgencia operacional que presiona al pago, (3) históricamente menores inversiones en ciberseguridad respecto a su criticidad.
| Fecha ↕ | Entidad ↕ | Sector ↕ | Tipo de Ataque | Severidad ↕ | Grupo / Actor | Detalles |
|---|