Anatomía de un ciberataque con resaca: así dejaron a Japón sin cerveza | Tecnología

Tomarse una cerveza ha sido complicado durante días en la cuarta mayor economía del mundo y los bares, restaurantes y licorerías japonesas han tenido un inicio de octubre complicado. La cerveza Asahi, la más consumida en el país, con una cuota de mercado del 40%, ha escaseado durante dos semanas por culpa de un ciberataque que paralizó la producción y los envíos de género. Eso, a su vez, hizo que competidores como Kirin o Sapporo no dieran abasto y tuvieran que dejar de aceptar comandas de los establecimientos que buscaban marcas alternativas. El pasado 29 de septiembre, un ransomware reivindicado por el grupo de origen ruso Qilin obligó a la compañía a cerrar seis fábricas y otras 30 instalaciones. Este tipo de ataques se realiza con programas maliciosos que encriptan y bloquean los sistemas hasta que se paga un rescate. Con los ordenadores paralizados, la compañía tuvo que volver temporalmente a los procesos manuales para atender los pedidos y la logística. Todo se gestionó durante dos semanas con boli y papel, avisando por fax a los clientes cuando los camiones estaban listos para salir del almacén.Más informaciónEl incidente hizo que resultara materialmente imposible atender a tiempo los flujos habituales de movimientos de mercancías, así que las estanterías de las tiendas solo tardaron dos días en quedarse sin existencias. Lo mismo pasó en la hostelería: pronto dejó de servirse la cerveza favorita de los japoneses. En los cuarteles de Asahi se quedaron también sin poder recibir emails, según reportó la propia compañía. Y tuvieron que posponer la presentación de resultados trimestrales.La actividad se fue recuperando poco a poco, empezando por la cerveza estrella del grupo, la marca Super Dry, hasta que el 10 de octubre ya habían reabierto todas las plantas, aunque con capacidad reducida. La compañía todavía no ha confirmado que se haya vuelto a la normalidad. “Quisiera expresar mis más sinceras disculpas por cualquier dificultad causada a nuestros interesados por la reciente interrupción del sistema. Agradecemos su comprensión y apoyo”, dijo en un comunicado Atsushi Katsuki, presidente del grupo.El grupo Asahi produce cerveza, pero también refrescos, comida y bebidas espirituosas. El ciberataque afectó a Japón, pero no a Europa, donde tiene marcas de bebidas como Peroni, Pilsner Urquell, Grolsch o Fuller. Las pérdidas derivadas de las interrupciones en la producción se estiman en unos 335 millones de dólares. Se sustrajeron 27 gigas de información, unos 9.300 archivos, incluyendo documentos financieros y presupuestos, contratos confidenciales, pronósticos de planificación y desarrollo e informes internos, además de información personal sobre los empleados. El grupo Qilin colgó en la dark web solo unos pocos como muestra.‘Captchas’ falsos¿Cómo lograron unos hackers dejar sin cerveza a Japón? “Los atacantes ejecutaron una campaña muy sofisticada, donde una variante de un ransomware Linux infectó sistemas Windows mediante la utilización de herramientas legítimas de gestión de red en remoto”, explica David Sancho, investigador senior de amenazas en Trend Micro. Accedieron a la red de la cervecera utilizando captchas falsos, esos mecanismos que ponen pruebas a los usuarios, como elegir las fotos en las que se vea un coche, para que demuestren que no son máquinas. Al pulsar en los recuadros de esos captchas, que aparecían en los equipos de empleados clave de Asahi, “se instalaba un malware que robaba las contraseñas de la red, lo que permitió que luego las utilizaran para el resto del ataque. Durante este, se inutilizaron las copias de seguridad y los sistemas de recuperación de desastres”, añade Sancho.Varios peatones transitan una concurrida calle de Osaka, en Japón.Jiale Tan (Getty)Una vez dentro de los sistemas, los atacantes buscaron sin ser descubiertos datos sensibles para cifrar y exfiltrar. En cuanto se los descargaron, bloquearon los equipos y pidieron el rescate. Pero la extorsión es doble. “Los investigadores que mantuvieron conversaciones privadas con operadores de Qilin descubrieron que, además de pedir un rescate, también intentaron vender los datos robados a Asahi por 10 millones de dólares. Esta demanda se recibió el 11 de octubre, probablemente como táctica para excluir intermediarios y acelerar la presión sobre la víctima”, apunta Nethaniel Ribco, responsable global de amenazas cibernéticas de UST CyberProof.El grupo Qilin toma su nombre de una criatura mitológica china de la que emanan llamas y que tiene cuerpo de león, escamas de pez y cuernos de ciervo. Pero no es una organización asiática. El hecho de que su código esté escrito en ruso y de que los ataques de sus afiliados eviten objetivos ubicados en la Comunidad de Estados Independientes hace sospechar de su origen ruso. “Hay varios indicios que apuntan a que tendría algún tipo de relación con otros grupos rusos de ciberdelincuentes como Scattered Spiders o grupos norcoreanos”, indica Josep Albors, director de investigación y concienciación en España de la empresa de ciberseguridad ESET.Hasta que lanzó su ataque a las cervezas Asahi, su víctima más grande se la había cobrado en junio de 2024, cuando extorsionó a la empresa médica británica Synnovis, que presta servicios de diagnóstico y patología en varios hospitales londinenses. Le exigió un rescate de 50 millones de dólares para no publicar los 400 gigas de datos que le robó. El ataque provocó la cancelación de más de 6.000 citas médicas y escasez de donaciones de sangre.La industrialización del ‘ransomware’Hay algo que distingue a Qilin de otros grupos de ciberdelincuentes. Ofrecen su software malicioso a cualquier hacker que logre acceder a una red corporativa, y luego se dividen el rescate obtenido. “Proporciona a los afiliados todas las herramientas e infraestructura necesarias para lanzar los ataques y, a cambio, se embolsan entre 15% y 20% de los rescates pagados”, sostiene Eusebio Nieva, director técnico de Check Point para España y Portugal. Aportar a quienes abren la puerta de una empresa las herramientas para robar lo que haya dentro, como quien contrata los servicios de un fontanero o un abogado, les permite industrializar el negocio del ransomware y ganar escala. “Operan con un programa que denominamos Ransomware as a Service”, puntualiza Sancho, de Trend Micro, el laboratorio que descubrió a esta agrupación criminal en agosto de 2022. Este esquema de funcionamiento les ha permitido convertirse en una de las principales amenazas internacionales en la categoría de ransomware. En el tercer trimestre de 2025 se han contabilizado al menos 402 ataques exitosos, según datos de los analistas de Trend Micro, lo que equivale a un 21% del total. “Qilin es uno de los grupos más activos actualmente. Entre sus puntos fuertes observamos que es un ransomware multiplataforma, puesto que también se han observado ataques contra servidores Linux además de sistemas Windows. Tiene cierta fama con el aprovechamiento de vulnerabilidades en dispositivos de red, como routers o firewalls”, destaca Josep Albors, director de investigación y concienciación de ESET España.Otra de sus fortalezas de este grupo es que, hasta la fecha, ha logrado ser muy escurridizo. “La infraestructura de Qilin está diseñada para resistir: mantienen webs de filtración (leak sites) y centros de mando alojados en servicios a prueba de cierres, a menudo en países que no colaboran con las investigaciones”, señala Hervé Lambert, responsable global de operaciones de consumo de Panda Security.