El grupo de ransomware Qilin ha incluido a la empresa española Mediapost en su portal de filtraciones de la dark web con una publicación que expone datos personales y documentación sensible. Entre los archivos atribuidos al ataque figuran nombres, apellidos, DNIs, licencias de conducir, pasaportes, nombres de usuario, correos electrónicos, direcciones físicas, números de teléfono e información confidencial.
La brecha llega a una compañía que trabaja en marketing relacional, distribución publicitaria y comunicación omnicanal para sectores como retail, gran consumo, automoción, banca y telecomunicaciones, pero por ahora no han trascendido ni los detalles técnicos del incidente ni el número exacto de personas afectadas.
Qilin acumuló más de 700 víctimas reivindicadas en 2025
Qilin, también conocido como Agenda, es un grupo de ransomware as a service identificado en 2022. Su operativa se basa en afiliados que ejecutan los ataques a cambio de un porcentaje del rescate.
Los informes de ciberseguridad consultados sobre su actividad le atribuyen más de 700 víctimas reivindicadas en 2025. El alcance de esas campañas afecta a sectores como manufactura, finanzas, retail, sanidad, tecnología, administraciones públicas y servicios profesionales.
La aparición de Mediapost en ese portal sitúa a la empresa española en una lista en la que ya habían figurado objetivos de distintos países y perfiles. Entre ellos constan el servicio de salud de Reino Unido, la empresa japonesa Asahi, la biotecnológica Inotiv y el conglomerado estadounidense Lee Enterprises.
El grupo ya había golpeado a la Agencia Tributaria y al Hospital de Los Madroños
En España, Qilin también ha reivindicado ataques contra la ingeniería Altius, la bodega Grandes Vinos, la Agencia Tributaria, la aseguradora Asefa y el Hospital de Los Madroños. Esa relación muestra que la actividad del grupo no se limita a un solo sector ni a una única escala de organización.
Hasta ahora no se ha hecho público cuántas personas pueden verse afectadas por la publicación vinculada a Mediapost. Tampoco han trascendido datos sobre el acceso inicial, el tiempo de permanencia de los atacantes en los sistemas o las medidas técnicas desplegadas tras el incidente.
Además, la entidad Escudo Digital ya ha contactado con la compañía para solicitar información sobre el ataque y sobre las medidas aplicadas después de la publicación de los datos en la dark web.