El notorio grupo de ransomware Qilin ha reivindicado la responsabilidad de una brecha que afecta a la Iglesia de la Cienciología. El grupo declaró que había obtenido documentos internos y publicado archivos de muestra en su página web. La organización no ha confirmado la brecha. En esta fase, la afirmación sigue sin verificar y no hay pruebas independientes de que los datos publicados por los atacantes sean auténticos.
El grupo de ransomware Qilin afirma que accedió a sistemas internos pertenecientes a la Iglesia de la Cienciología y publicó un conjunto de archivos de muestra. El grupo publicó 22 documentos que, según él, fueron tomados de una sucursal con sede en el Reino Unido. El material incluye registros financieros internos, formularios administrativos, documentación relacionada con los miembros y documentación de visados para trabajadores religiosos. La Iglesia de la Cienciología no ha confirmado la brecha, y la autenticidad de los archivos filtrados no ha sido verificada por investigadores independientes.
Según el grupo, los elementos filtrados fueron tomados durante una reciente intrusión que involucró sistemas que almacenan información administrativa y operativa. Los documentos presentados como prueba incluyen solicitudes de financiación para visados de trabajadores religiosos, hojas presupuestarias, registros de facturación, listas de gastos relacionados con eventos y gráficos organizativos internos. Algunos de los artículos parecen implicar procesamiento de membresía o solicitudes de actualización. Los analistas que revisaron las muestras publicadas dijeron que los documentos se parecen a papeleo administrativo interno, pero señalaron que la confirmación requiere análisis forense. En esta fase, no hay indicación oficial de que los conjuntos de datos sean precisos, completos o actuales.
Los investigadores señalaron que Qilin frecuentemente se atribuye la responsabilidad de incidentes de alto perfil y utiliza muestras de datos iniciales para presionar a las víctimas. Añadieron que el grupo apunta regularmente a organizaciones que gestionan grandes volúmenes de datos personales o financieros. El supuesto ataque a la Iglesia de la Cienciología encajaría en este patrón, pero aún no ha sido respaldado por hallazgos técnicos más allá de las propias declaraciones del grupo.
Qilin opera un modelo de ransomware como servicio. Sus afiliados realizan ataques y comparten los ingresos del rescate con los operadores. El grupo apareció por primera vez en 2022 y ha ampliado sus operaciones en varias regiones. Los informes de seguridad de 2024 y 2025 muestran actividad que afecta a proveedores de salud, empresas manufactureras, instituciones educativas y servicios gubernamentales. Se sabe que el grupo recurre a la doble extorsión. Esto implica el robo de datos combinado con esfuerzos para hacer inaccesibles los sistemas. A las víctimas se les dice entonces que los datos robados serán publicados si no se cumplen las demandas.
Los investigadores señalaron que los afiliados de Qilin a menudo inician ataques a través de credenciales comprometidas, vulnerabilidades en sistemas de acceso remoto o debilidades en herramientas de terceros. Una vez dentro de una red, los atacantes recopilan información, intentan moverse lateralmente y extraen datos. Pueden desactivar controles protectores o copias de seguridad antes de activar el cifrado de archivos. La expansión de este método ha incrementado el número de organizaciones en riesgo, incluyendo grupos sin ánimo de lucro e instituciones religiosas que mantienen registros internos detallados.
Si la afirmación de Qilin sobre la Iglesia de la Cienciología es precisa, la información filtrada podría incluir identificadores personales, detalles financieros y registros organizativos sensibles. La exposición de la documentación de visados y de los datos de membresía podría poner a las personas en riesgo de robo de identidad o fraude dirigido. Los documentos financieros u organizativos internos pueden revelar procedimientos confidenciales que no están destinados a su publicación pública. Los analistas señalaron que las filtraciones de grupos religiosos o sin ánimo de lucro suelen crear sensibilidades adicionales porque pueden implicar información relacionada con miembros privados que normalmente está protegida por normas de privacidad o organizativas.
Los profesionales de la ciberseguridad afirmaron que las organizaciones que gestionan datos internos sensibles requieren controles de acceso estrictos, auditorías regulares y una fuerte segmentación entre sistemas administrativos y operativos. Señalaron que grupos como Qilin suelen explotar áreas donde los sistemas heredados se cruzan con herramientas modernas de comunicación o gestión de documentos. Sin una revisión regular, estos sistemas pueden volverse vulnerables al robo o intrusión.
La Iglesia de la Cienciología no ha emitido una declaración pública sobre la supuesta violación. Se reportaron solicitudes de comentarios, pero no se había dado respuesta en el momento de la información. La falta de confirmación significa que el alcance y la precisión de la filtración siguen siendo inciertos. Los analistas dijeron que es necesaria una interpretación cautelosa hasta que una investigación formal o una evaluación de terceros confirme si se produjo acceso no autorizado. En incidentes anteriores que involucraron a otras organizaciones, los archivos de muestra publicados por grupos de amenaza han variado desde precisos hasta engañosos o incompletos.
Las personas que crean haber sido afectadas deben vigilar si hay mensajes sospechosos o intentos de obtener información personal. Los asesores de seguridad recomiendan actualizar las contraseñas de las cuentas relevantes, habilitar la autenticación en dos pasos cuando sea posible y mantenerse alerta ante comunicaciones inesperadas que referencian registros internos.
Para abordar intrusiones a gran escala de este tipo, los expertos recomiendan revisar la arquitectura de la red, implementar procedimientos más sólidos de gestión de credenciales y ejercer una supervisión cuidadosa de los sistemas de acceso remoto. La revisión regular del registro y el monitoreo pueden mejorar la detección de intentos de intrusión en fases tempranas. Las organizaciones que gestionan información personal también pueden estar obligadas a notificar a los reguladores si se confirman las violaciones.
El ataque reivindicado refleja la ampliación de objetivos seleccionados por grupos de ransomware. Aunque las entidades comerciales siguen siendo las víctimas más frecuentes, las organizaciones religiosas y sin ánimo de lucro almacenan cada vez más grandes conjuntos de datos que pueden ser valiosos para los atacantes. Hasta que se disponga de una verificación independiente, el incidente sigue siendo una afirmación no confirmada basada en material publicado por el grupo.