El grupo de ransomware Everest publicó en su portal de la dark web un aviso de extorsión contra SOLATI S.A.S., empresa contratista de EPM y la Central Hidroeléctrica de Caldas (CHEC). El ataque expuso informes especializados de cartera de ambas entidades y reaviva la alarma sobre la seguridad de la cadena de suministro tecnológico en Colombia.
Lo que se sabe del ataque
El viernes 29 de mayo amaneció con una notificación en el portal Tor del grupo Everest: dos nuevas víctimas colombianas añadidas a su lista de extorsión. Una de ellas identificada como «ЕРМ» —usando caracteres cirílicos para eludir filtros— y la otra Asopagos S.A., operador de pagos de seguridad social con cobertura nacional.
Horas después, EPM emitió un comunicado oficial que aclara la naturaleza real del incidente: el ataque no comprometió los sistemas propios de la empresa. La víctima directa fue SOLATI S.A.S., una empresa contratista encargada de procesos de gestión de cartera, cuyos sistemas fueron penetrados por lo que el mismo contratista describió como «una organización criminal de alcance internacional».
Por su parte la empresa SOLATI S.A.S., empresa colombiana de tecnología especializada en software de gestión de cobranzas, automatización de cartera y
CRM para procesos de recaudo con inteligencia artificial, público un aviso en su página web confirmando el incidente de ciberseguridad, el cual se debió por el acceso no autorizado que aprovecharon los atacantes para exfiltrar información.
El vector: la cadena de suministro
El incidente ilustra con precisión una táctica que los grupos de ransomware han perfeccionado en los últimos años: en lugar de atacar frontalmente a organizaciones reconocidas y protegidas, los atacantes identifican a sus proveedores y contratistas, que suelen tener menores niveles de defensa digital, pero acceso a información sensible de sus clientes.
Un ataque a la cadena de suministro (Supply Chain Attack) es una técnica en la que los atacantes comprometen a un proveedor, contratista, desarrollador de software o tercero de confianza para llegar indirectamente a la organización objetivo.
En este caso, el blanco no fue EPM directamente — que invirtió significativamente en ciberseguridad tras el devastador ataque de diciembre de 2022 cuando el grupo BlackCat Ransomware comprometió los sistemas digitales de la empresa y dejó sin funcionamiento múltiples servicios tecnológicos durante semanas que obligó a la compañía a operar bajo contingencia y fue considerado uno de los ataques informáticos más severos registrados contra una empresa pública en Colombia, — sino SOLATI, que operaba el CRM de cobranzas. El objetivo específico del ataque fue el servicio complementario de informes especializados asociados a ese CRM, lo que expuso datos de cartera de dos clientes: EPM y la Central Hidroeléctrica de Caldas (CHEC).
«Los contratistas y proveedores tecnológicos se han convertido en uno de los puntos más vulnerables para las grandes organizaciones. Los atacantes suelen buscar acceso indirecto a información sensible a través de empresas aliadas con menores niveles de protección digital.» — Expertos en ciberseguridad consultados por El Colombiano.
Cronología de los incidentes
Diciembre 2022: EPM sufre el ataque de BlackCat/ALPHV, uno de los más graves registrados en Colombia. Sistemas cifrados, miles de empleados en casa. La Fiscalía abre investigación.
2022–2026: EPM refuerza su infraestructura de seguridad internamente. Colombia registra un aumento sostenido de intentos de ciberataque, superando los 7.100 millones de intentos solo en el primer semestre de 2025.
29 mayo 2026: Everest publica en su blog de la dark web los nombres de «ЕРМ» y Asopagos S.A. como víctimas de extorsión.
29 mayo 2026: EPM emite comunicado oficial en la tarde aclarando que la víctima directa es SOLATI S.A.S. Se confirma que CHEC también está afectada. EPM reporta operación normal en todos sus sistemas.
Entidades involucradas:
- EPM: Empresa pública · Medellín · Energía, gas, agua
- SOLATI S.A.S.: Contratista · Gestión de cartera y CRM
- CHEC: Central Hidroeléctrica de Caldas · Afectada indirecta
- Asopagos S.A.: Fintech · Operador PILA · Bogotá
Dark web y exposición a los ladrones de información
Realizando una revisión rápida con herramientas de monitoreo de ataques de ransomware e inteligencia de amenazas en internet y la dark web, se encuentra la siguiente información:
epm.com.co
asopagos.com
solati.co
Estadísticas de víctimas de ataques por grupos y sectores a mayo de 2026
¿Quién es Everest?
Everest es un grupo criminal que opera desde al menos diciembre de 2020, con señales que apuntan a miembros de habla rusa o con base en países de la antigua Unión Soviética. Con más de 365 víctimas documentadas en 34 países, el grupo tuvo un incremento de actividad del 25% respecto al mes anterior según los rastreadores especializados.
Su modelo de negocio combina doble extorsión —cifrar datos y amenazar con publicarlos— con la venta de accesos iniciales a otras bandas criminales. Sus sectores preferidos son salud, servicios empresariales, tecnología y manufactura. Estados Unidos concentra el 29% de sus víctimas, pero América Latina ha comenzado a aparecer con mayor frecuencia en su historial.
Contexto global reciente En los últimos meses, Everest ha extorsionado a:
- Iberia Airlines (596 GB de datos, 6 millones de dólares exigidos)
- Liberty Mutual en EE.UU. (108 GB, más de 15.000 afectados)
- Entidades de salud en varios países. El grupo no discrimina sector ni región geográfica.
Tecnologías y herramientas asociadas con Everest
Everest suele apoyarse en herramientas legítimas y malware auxiliar para movimiento lateral y persistencia, entre ellas:
- Cobalt Strike
- AnyDesk
- Splashtop
- Atera
- WinRAR
- ProcDump
También se ha observado:
- explotación de servicios RDP/VPN expuestos,
- uso de credenciales robadas,
- compra y venta de accesos iniciales (Initial Access Broker).
TTPs relevantes (MITRE ATT&CK)
Algunas técnicas comúnmente asociadas:
- T1133 – External Remote Services
- T1078 – Valid Accounts
- T1021 – Remote Services
- T1486 – Data Encrypted for Impact
- T1567 – Exfiltration to Cloud Services
- T1490 – Inhibit System Recovery
A continuación, se presenta un resumen de las CVEs que con mayor frecuencia han sido explotadas por grupos de ransomware y extorsión con TTPs compatibles con Everest:
| CVE | Producto | Tipo | Severidad | Impacto Principal |
|---|---|---|---|---|
| CVE-2023-27997 | Fortinet FortiOS SSL-VPN | Buffer Overflow | Crítica | RCE preautenticación |
| CVE-2022-42475 | Fortinet FortiOS | RCE | Crítica | Ejecución remota de código |
| CVE-2018-13379 | Fortinet FortiOS SSL-VPN | Path Traversal | Crítica | Robo de credenciales VPN |
| CVE-2023-4966 | Citrix NetScaler (Citrix Bleed) | Session Hijacking | Crítica | Secuestro de sesiones autenticadas |
| CVE-2019-19781 | Citrix ADC/Gateway | RCE | Crítica | Acceso remoto a sistemas |
| CVE-2019-11510 | Pulse Secure VPN | Arbitrary File Read | Crítica | Exposición de credenciales |
| CVE-2023-46805 | Ivanti Connect Secure | Authentication Bypass | Crítica | Acceso sin autenticación |
| CVE-2024-21887 | Ivanti Connect Secure | Command Injection | Crítica | RCE post-bypass |
| CVE-2021-26855 | Microsoft Exchange (ProxyLogon) | SSRF + RCE | Crítica | Compromiso completo del servidor |
| CVE-2021-34473 | Microsoft Exchange (ProxyShell) | RCE | Crítica | Instalación de webshells |
| CVE-2021-34527 | Windows Print Spooler (PrintNightmare) | RCE / Privilege Escalation | Crítica | Control de dominio |
| CVE-2020-1472 | Netlogon (ZeroLogon) | Elevación de privilegios | Crítica | Compromiso de Domain Controller |
| CVE-2021-21974 | VMware ESXi OpenSLP | RCE | Crítica | Compromiso de hipervisores |
| CVE-2023-20867 | VMware ESXi | RCE | Alta | Control de infraestructura virtual |
| CVE-2021-20016 | SonicWall SMA | RCE | Crítica | Acceso remoto persistente |
| CVE-2023-28771 | Zyxel Firewall | Command Injection | Crítica | Compromiso del firewall |
| CVE-2023-22515 | Atlassian Confluence | Broken Access Control | Crítica | Creación de administradores |
| CVE-2022-26134 | Atlassian Confluence | OGNL Injection / RCE | Crítica | Ejecución remota de código |
| CVE-2023-34362 | MOVEit Transfer | SQL Injection → RCE | Crítica | Robo masivo de datos |
Implicaciones para Colombia
El ataque registrado ocurre en un contexto de escalada sostenida. Según informes de ciberseguridad, Colombia acumuló más de 36.000 millones de intentos de ataque en 2024, y los primeros seis meses de 2025 ya registraban 7.100 millones. Diversos estudios regionales reportan que las organizaciones en Colombia y Latinoamérica enfrentan en promedio: entre 2.800 y 3.000 ciberataques semanales por organización.
Los ataques son además cada vez más sofisticados: combinan ingeniería social, robo de credenciales e inteligencia artificial para hacerlos más difíciles de detectar.
El caso de SOLATI pone sobre la mesa una pregunta incómoda para todas las organizaciones colombianas: ¿cuán seguros son sus proveedores? Las empresas que han fortalecido su perímetro interno a menudo descuidan auditar el nivel de seguridad de su ecosistema de contratistas, creando puertas traseras involuntarias hacia sus activos más sensibles.
Fuentes:
¿Está seguro que su aplicación web es segura?
Recibe un Diagnóstico Sin Costo del estado de seguridad de tu aplicación, sitio web o dominio dando clic en el siguiente enlace: