{"id":187,"date":"2025-11-03T17:38:27","date_gmt":"2025-11-03T16:38:27","guid":{"rendered":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/?p=187"},"modified":"2026-03-17T16:37:39","modified_gmt":"2026-03-17T15:37:39","slug":"anatomia-de-un-ciberataque-con-resaca-asi-dejaron-a-japon-sin-cerveza","status":"publish","type":"post","link":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/anatomia-de-un-ciberataque-con-resaca-asi-dejaron-a-japon-sin-cerveza\/","title":{"rendered":"Anatom\u00eda de un ciberataque con resaca: as\u00ed dejaron a Jap\u00f3n sin cerveza"},"content":{"rendered":"\n
\n

Fuente: Manuel G. Pascual <\/strong>– EL PA\u00cdS<\/p>\n\n\n\n

30 OCT<\/abbr> 2025<\/p>\n<\/div>\n\n\n\n

Introducci\u00f3n<\/h2>\n\n\n\n

Anatom\u00eda de un ciberataque con resaca: as\u00ed dejaron a Jap\u00f3n sin cerveza – Tomarse una cerveza ha sido complicado durante d\u00edas en la cuarta mayor econom\u00eda del mundo y los bares, restaurantes y licorer\u00edas japonesas han tenido un inicio de octubre complicado. La cerveza Asahi, la m\u00e1s consumida en el pa\u00eds, con una cuota de mercado del 40%, ha escaseado durante dos semanas por culpa de\u00a0un ciberataque\u00a0que paraliz\u00f3 la producci\u00f3n y los env\u00edos del g\u00e9nero. Eso, a su vez, hizo que\u00a0competidores como Kirin o Sapporo no dieran abasto\u00a0y tuvieran que dejar de aceptar comandas de los establecimientos que buscaban marcas alternativas.<\/p>\n\n\n\n

El pasado 29 de septiembre, un ransomware<\/em> reivindicado por el grupo de origen ruso Qilin oblig\u00f3 a la compa\u00f1\u00eda a cerrar seis f\u00e1bricas y otras 30 instalaciones. Este tipo de ataques se realiza con programas maliciosos que encriptan y bloquean los sistemas hasta que se paga un rescate. Con los ordenadores paralizados, la compa\u00f1\u00eda tuvo que volver temporalmente a los procesos manuales para atender los pedidos y la log\u00edstica. Todo se gestion\u00f3 durante dos semanas con boli y papel, avisando por fax a los clientes cuando los camiones estaban listos para salir del almac\u00e9n. El incidente hizo que resultara materialmente imposible atender a tiempo los flujos habituales de movimientos de mercanc\u00edas, as\u00ed que las estanter\u00edas de las tiendas solo tardaron dos d\u00edas en quedarse sin existencias. <\/p>\n\n\n\n

Lo mismo pas\u00f3 en la hosteler\u00eda: pronto dej\u00f3 de servirse la cerveza favorita de los japoneses. En los cuarteles de Asahi se quedaron tambi\u00e9n sin poder recibir emails<\/em>, seg\u00fan report\u00f3 la propia compa\u00f1\u00eda. Y tuvieron que posponer la presentaci\u00f3n de resultados trimestrales. La actividad se fue recuperando poco a poco, empezando por la cerveza estrella del grupo, la marca Super Dry, hasta que el 10 de octubre ya hab\u00edan reabierto todas las plantas, aunque con capacidad reducida. La compa\u00f1\u00eda todav\u00eda no ha confirmado que se haya vuelto a la normalidad. \u201cQuisiera expresar mis m\u00e1s sinceras disculpas por cualquier dificultad causada a nuestros interesados por la reciente interrupci\u00f3n del sistema. Agradecemos su comprensi\u00f3n y apoyo\u201d, dijo en un comunicado Atsushi Katsuki, presidente del grupo.<\/p>\n\n\n\n

El grupo Asahi produce cerveza, pero tambi\u00e9n refrescos, comida y bebidas espirituosas. El ciberataque afect\u00f3 a Jap\u00f3n, pero no a Europa, donde tiene marcas de bebidas como Peroni, Pilsner Urquell, Grolsch o Fuller. Las p\u00e9rdidas derivadas de las interrupciones en la producci\u00f3n se estiman en unos 335 millones de d\u00f3lares. Se sustrajeron 27 gigas de informaci\u00f3n, unos 9.300 archivos, incluyendo documentos financieros y presupuestos, contratos confidenciales, pron\u00f3sticos de planificaci\u00f3n y desarrollo e informes internos, adem\u00e1s de informaci\u00f3n personal sobre los empleados. El grupo Qilin colg\u00f3 en la dark web<\/em> solo unos pocos como muestra.<\/p>\n\n\n\n

Captchas\u2019 falsos<\/h3>\n\n\n\n

\u00bfC\u00f3mo lograron unos hackers<\/em> dejar sin cerveza a Jap\u00f3n? \u201cLos atacantes ejecutaron una campa\u00f1a muy sofisticada, donde una variante de un ransomware<\/em> Linux infect\u00f3 sistemas Windows mediante la utilizaci\u00f3n de herramientas leg\u00edtimas de gesti\u00f3n de red en remoto\u201d, explica David Sancho, investigador senior de amenazas en Trend Micro. Accedieron a la red de la cervecera utilizando captchas<\/em> falsos, esos<\/p>\n\n\n\n

mecanismos que ponen pruebas a los usuarios, como elegir las fotos en las que se vea un coche, para que demuestren que no son m\u00e1quinas. Al pulsar en los recuadros de esos captchas<\/em>, que aparec\u00edan en los equipos de empleados clave de Asahi, \u201cse instalaba un malware<\/em> que robaba las contrase\u00f1as de la red, lo que permiti\u00f3 que luego las utilizaran para el resto del ataque. Durante este, se inutilizaron las copias de seguridad y los sistemas de recuperaci\u00f3n de desastres\u201d, a\u00f1ade Sancho. Una vez dentro de los sistemas, los atacantes buscaron sin ser descubiertos datos sensibles para cifrar y exfiltrar. En cuanto se los descargaron, bloquearon los equipos y pidieron el rescate. Pero la extorsi\u00f3n es doble. \u201cLos investigadores que mantuvieron conversaciones privadas con operadores de Qilin descubrieron que, adem\u00e1s de pedir un rescate, tambi\u00e9n intentaron vender los datos robados a Asahi por 10 millones de d\u00f3lares. Esta demanda se recibi\u00f3 el 11 de octubre, probablemente como t\u00e1ctica para excluir intermediarios y acelerar la presi\u00f3n sobre la v\u00edctima\u201d, apunta Nethaniel Ribco, responsable global de amenazas cibern\u00e9ticas de UST CyberProof.<\/p>\n\n\n\n

El grupo Qilin toma su nombre de una criatura mitol\u00f3gica china de la que emanan llamas y que tiene cuerpo de le\u00f3n, escamas de pez y cuernos de ciervo. Pero no es una organizaci\u00f3n asi\u00e1tica. El hecho de que su c\u00f3digo est\u00e9 escrito en ruso y de que los ataques de sus afiliados eviten objetivos ubicados en la Comunidad de Estados Independientes hace sospechar de su origen ruso. \u201cHay varios indicios que apuntan a que tendr\u00eda alg\u00fan tipo de relaci\u00f3n con otros grupos rusos de ciberdelincuentes como Scattered Spiders o grupos norcoreanos\u201d, indica Josep Albors, director de investigaci\u00f3n y concienciaci\u00f3n en Espa\u00f1a de la empresa de ciberseguridad ESET.<\/p>\n\n\n\n

Hasta que lanz\u00f3 su ataque a las cervezas Asahi, su v\u00edctima m\u00e1s grande se la hab\u00eda cobrado en junio de 2024, cuando extorsion\u00f3 a la empresa m\u00e9dica brit\u00e1nica Synnovis, que presta servicios de diagn\u00f3stico y patolog\u00eda en varios hospitales londinenses. Le exigi\u00f3 un rescate de 50 millones de d\u00f3lares para no publicar los 400 gigas de datos que le rob\u00f3. El ataque provoc\u00f3 la cancelaci\u00f3n de m\u00e1s de 6.000 citas m\u00e9dicas y escasez de donaciones de sangre.<\/p>\n\n\n\n

La industrializaci\u00f3n del \u2018ransomware\u2019<\/h3>\n\n\n\n

Hay algo que distingue a Qilin de otros grupos de ciberdelincuentes. Ofrecen su software<\/em> malicioso a cualquier hacker<\/em> que logre acceder a una red corporativa, y luego se dividen el rescate obtenido. \u201cProporciona a los afiliados todas las herramientas e infraestructura necesarias para lanzar los ataques y, a cambio, se embolsan entre 15% y 20% de los rescates pagados\u201d, sostiene Eusebio Nieva, director t\u00e9cnico de Check Point para Espa\u00f1a y Portugal.<\/p>\n\n\n\n

Aportar a quienes abren la puerta de una empresa las herramientas para robar lo que haya dentro, como quien contrata los servicios de un fontanero o un abogado, les permite industrializar el negocio del ransomware<\/em> y ganar escala. \u201cOperan con un programa que denominamos Ransomware as a Service<\/em>\u201d, puntualiza Sancho, de Trend Micro, el laboratorio que descubri\u00f3 a esta agrupaci\u00f3n criminal en agosto de 2022.<\/p>\n\n\n\n

Este esquema de funcionamiento les ha permitido convertirse en una de las principales amenazas internacionales en la categor\u00eda de ransomware<\/em>. En el tercer trimestre de 2025 se han contabilizado al menos 402 ataques exitosos, seg\u00fan datos de los analistas de Trend Micro, lo que equivale a un 21% del total. \u201cQilin es uno de los grupos m\u00e1s activos actualmente. Entre sus puntos fuertes observamos que es un ransomware<\/em> multiplataforma, puesto que tambi\u00e9n se han observado ataques contra servidores Linux adem\u00e1s de sistemas Windows. Tiene cierta fama con el aprovechamiento de vulnerabilidades en dispositivos de red, como routers<\/em> o firewalls<\/em>\u201d, destaca Josep Albors, director de investigaci\u00f3n y concienciaci\u00f3n de ESET Espa\u00f1a.<\/p>\n\n\n\n

Otra de las fortalezas de este grupo es que, hasta la fecha, ha logrado ser muy escurridizo. \u201cLa infraestructura de Qilin est\u00e1 dise\u00f1ada para resistir: mantienen webs de filtraci\u00f3n (leak sites<\/em>) y centros de mando alojados en servicios a prueba de cierres, a menudo en pa\u00edses que no colaboran con las investigaciones\u201d, se\u00f1ala Herv\u00e9 Lambert, responsable global de operaciones de consumo de Panda Security.<\/a><\/a><\/p>\n\n\n\n

Galer\u00eda <\/h2>\n\n\n\n
\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n<\/figure>\n\n\n\n

Fuente: Xataka\/Lisa News <\/sub><\/p>\n","protected":false},"excerpt":{"rendered":"

Unos \u2018hackers\u2019 rusos paralizaron durante dos semanas al grupo Asahi, el mayor fabricante del pa\u00eds asi\u00e1tico, que puso en jaque a muchos de sus bares y restaurantes<\/p>\n","protected":false},"author":1,"featured_media":285,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[70,33],"tags":[39,38],"class_list":["post-187","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actividad-1","category-ciencia","tag-ciberataque","tag-japon"],"_links":{"self":[{"href":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/wp-json\/wp\/v2\/posts\/187","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/wp-json\/wp\/v2\/comments?post=187"}],"version-history":[{"count":15,"href":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/wp-json\/wp\/v2\/posts\/187\/revisions"}],"predecessor-version":[{"id":685,"href":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/wp-json\/wp\/v2\/posts\/187\/revisions\/685"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/wp-json\/wp\/v2\/media\/285"}],"wp:attachment":[{"href":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/wp-json\/wp\/v2\/media?parent=187"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/wp-json\/wp\/v2\/categories?post=187"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gicd.inf.um.es\/csidper\/usuario04\/wp-json\/wp\/v2\/tags?post=187"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}