{"id":4327,"date":"2026-06-01T09:00:48","date_gmt":"2026-06-01T14:00:48","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=4327"},"modified":"2026-06-01T09:01:03","modified_gmt":"2026-06-01T14:01:03","slug":"everest-ataca-de-nuevo-epm-y-otras-empresas-comprometidas","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/everest-ataca-de-nuevo-epm-y-otras-empresas-comprometidas\/","title":{"rendered":"Everest ataca de nuevo: EPM y otras empresas comprometidas"},"content":{"rendered":"\n

El grupo de ransomware Everest <\/strong>public\u00f3 en su portal de la dark web un aviso de extorsi\u00f3n contra SOLATI S.A.S.<\/strong>, empresa contratista de EPM <\/strong>y la Central Hidroel\u00e9ctrica de Caldas<\/strong> (CHEC). El ataque expuso informes especializados de cartera de ambas entidades y reaviva la alarma sobre la seguridad de la cadena de suministro tecnol\u00f3gico en Colombia.<\/p>\n\n\n\n

Lo que se sabe del ataque<\/h2>\n\n\n\n

El viernes 29 de mayo amaneci\u00f3 con una notificaci\u00f3n en el portal Tor del grupo Everest<\/strong>: dos nuevas v\u00edctimas colombianas a\u00f1adidas a su lista de extorsi\u00f3n. Una de ellas identificada como \u00ab\u0415\u0420\u041c<\/strong>\u00bb \u2014usando caracteres cir\u00edlicos para eludir filtros\u2014 y la otra Asopagos S.A.<\/strong>, operador de pagos de seguridad social con cobertura nacional.<\/p>\n\n\n\n

Horas despu\u00e9s, EPM emiti\u00f3 un comunicado oficial que aclara la naturaleza real del incidente: el ataque no comprometi\u00f3 los sistemas propios de la empresa. La v\u00edctima directa fue SOLATI S.A.S.<\/strong>, una empresa contratista encargada de procesos de gesti\u00f3n de cartera, cuyos sistemas fueron penetrados por lo que el mismo contratista describi\u00f3 como \u00abuna organizaci\u00f3n criminal de alcance internacional\u00bb.<\/p>\n\n\n\n

\"\"<\/a>
EPM informa incidente de ciberseguridad en contratista<\/a><\/figcaption><\/figure>\n\n\n\n

Por su parte la empresa SOLATI S.A.S<\/strong>., empresa colombiana de tecnolog\u00eda especializada en software de gesti\u00f3n de cobranzas, automatizaci\u00f3n de cartera y
CRM para procesos de recaudo con inteligencia artificial, p\u00fablico un aviso en su p\u00e1gina web confirmando el incidente de ciberseguridad, el cual se debi\u00f3 por el acceso no autorizado que aprovecharon los atacantes para exfiltrar informaci\u00f3n<\/strong>.<\/p>\n\n\n\n

\"\"<\/a>
Comunicado opini\u00f3n P\u00fablica – Software para la Gesti\u00f3n de Cobranza<\/a><\/figcaption><\/figure>\n\n\n\n

El vector: la cadena de suministro<\/h2>\n\n\n\n

El incidente ilustra con precisi\u00f3n una t\u00e1ctica que los grupos de ransomware han perfeccionado en los \u00faltimos a\u00f1os: en lugar de atacar frontalmente a organizaciones reconocidas y protegidas, los atacantes identifican a sus proveedores y contratistas, que suelen tener menores niveles de defensa digital, pero acceso a informaci\u00f3n sensible de sus clientes<\/strong>.<\/p>\n\n\n\n

Un ataque a la cadena de suministro (Supply Chain Attack<\/strong>) es una t\u00e9cnica en la que los atacantes comprometen a un proveedor, contratista, desarrollador de software o tercero de confianza<\/strong> para llegar indirectamente a la organizaci\u00f3n objetivo.<\/p>\n\n\n\n

En este caso, el blanco no fue EPM directamente \u2014 que invirti\u00f3 significativamente en ciberseguridad tras el devastador ataque de diciembre de 2022 cuando el grupo BlackCat Ransomware<\/strong> comprometi\u00f3 los sistemas digitales de la empresa y dej\u00f3 sin funcionamiento m\u00faltiples servicios tecnol\u00f3gicos durante semanas que oblig\u00f3 a la compa\u00f1\u00eda a operar bajo contingencia y fue considerado uno de los ataques inform\u00e1ticos m\u00e1s severos registrados contra una empresa p\u00fablica en Colombia, \u2014 sino SOLATI, que operaba el CRM de cobranzas. El objetivo espec\u00edfico del ataque fue el servicio complementario de informes especializados asociados a ese CRM<\/strong>, lo que expuso datos de cartera de dos clientes: EPM y la Central Hidroel\u00e9ctrica de Caldas (CHEC)<\/strong>.<\/p>\n\n\n\n

\n

\u00abLos contratistas y proveedores tecnol\u00f3gicos se han convertido en uno de los puntos m\u00e1s vulnerables para las grandes organizaciones. Los atacantes suelen buscar acceso indirecto a informaci\u00f3n sensible a trav\u00e9s de empresas aliadas con menores niveles de protecci\u00f3n digital.\u00bb \u2014 Expertos en ciberseguridad consultados por El Colombiano.<\/p>\n<\/blockquote>\n\n\n\n

Cronolog\u00eda de los incidentes<\/h2>\n\n\n\n

Diciembre 2022<\/strong>: EPM sufre el ataque de BlackCat\/ALPHV<\/strong>, uno de los m\u00e1s graves registrados en Colombia. Sistemas cifrados, miles de empleados en casa. La Fiscal\u00eda abre investigaci\u00f3n.<\/p>\n\n\n\n

2022\u20132026<\/strong>: EPM refuerza su infraestructura de seguridad internamente. Colombia registra un aumento sostenido de intentos de ciberataque, superando los 7.100 millones de intentos<\/strong> solo en el primer semestre de 2025.<\/p>\n\n\n\n

29 mayo 2026<\/strong>: Everest publica<\/strong> en su blog de la dark web los nombres de \u00ab\u0415\u0420\u041c\u00bb y Asopagos S.A. como v\u00edctimas de extorsi\u00f3n. <\/p>\n\n\n\n

29 mayo 2026<\/strong>: EPM emite comunicado oficial en la tarde aclarando que la v\u00edctima directa es SOLATI S.A.S.<\/strong> Se confirma que CHEC tambi\u00e9n est\u00e1 afectada. EPM reporta operaci\u00f3n normal en todos sus sistemas.<\/p>\n\n\n\n

Entidades involucradas<\/strong>:<\/p>\n\n\n\n