Everest ransomware: Ciberataque masivo contra importantes bancos de EE. UU.

En una escalada de tensiones que ha puesto en jaque al sistema financiero estadounidense, el grupo de Everest ransomware ha vuelto a golpear con una precisión quirúrgica. El 21 de abril de 2026, la comunidad de ciberseguridad despertó con una noticia alarmante: dos de las instituciones bancarias más sólidas de los Estados Unidos, Frost Bank y Citizens Financial Group, han sido listadas en el portal de extorsión de la Dark Web operado por esta organización criminal de origen ruso. La amenaza no es una simple advertencia; es un ultimátum de seis días que podría desencadenar una crisis de identidad masiva para cientos de miles de ciudadanos.

El ascenso del Everest ransomware: De la encriptación a la pura extorsión de datos

Para comprender la magnitud de esta amenaza, es imperativo analizar la evolución de este actor de amenazas. El grupo Everest ransomware no es un recién llegado al ecosistema del cibercrimen. Activo desde finales de 2020, este grupo ha transformado su modelo de negocio de manera significativa. Si bien en sus inicios operaban bajo el esquema tradicional de “Ransomware-as-a-Service” (RaaS), cifrando archivos y exigiendo un rescate por la clave de descifrado, en 2025 y 2026 han perfeccionado la técnica de la doble extorsión.

A diferencia de otros grupos que dependen exclusivamente del secuestro de sistemas, Everest ha demostrado una inclinación por actuar como un “Initial Access Broker” (IAB) o corredor de acceso inicial. Esto significa que no solo roban datos, sino que también venden el acceso persistente a las redes corporativas comprometidas a otros grupos criminales, maximizando sus ganancias. Su historial incluye ataques devastadores contra sectores críticos, incluyendo la industria aeroespacial (Collins Aerospace) y el sector minorista (Under Armour), lo que otorga a sus amenazas actuales una credibilidad aterradora.

Frost Bank y Citizens Financial Group: Los detalles del compromiso

El anuncio realizado en el blog de filtraciones de Everest detalla cifras y tipos de datos que han enviado ondas de choque a través de los departamentos de cumplimiento normativo y seguridad. Los informes indican que el ataque ha afectado a dos perfiles geográficos y operativos distintos:

• Frost Bank: Con sede en Texas, esta institución ha visto comprometida la privacidad de aproximadamente 250,000 clientes. Las muestras de datos publicadas por los atacantes como prueba de vida del hackeo incluyen información de extrema sensibilidad, como números de Seguro Social (SSN) y números de Identificación Fiscal (TIN).
• Citizens Financial Group: Un gigante del noreste de EE. UU. que enfrenta una reclamación aún más masiva. Aunque los analistas sugieren que el volumen de datos podría alcanzar los 3.4 millones de registros, la naturaleza del “leak” parece ser un volcado de base de datos SQL que contiene nombres, direcciones y números de cuenta.

Lo que hace que el ataque contra Frost Bank sea particularmente peligroso es la profundidad de la información financiera exfiltrada. Los documentos muestran registros de beneficios de inversión, tasas de interés hipotecarias y estados de ingresos. Esta información no solo facilita el robo de identidad, sino que permite a otros actores malintencionados realizar perfilado financiero de alta precisión para ataques de ingeniería social dirigidos (spear-phishing) contra individuos de alto patrimonio.

Anatomía técnica: ¿Cómo penetró Everest las defensas bancarias?

Aunque las investigaciones forenses aún están en curso, los analistas de seguridad señalan que el Everest ransomware suele emplear tácticas, técnicas y procedimientos (TTPs) muy consistentes. El análisis de incidentes previos sugiere que el vector de entrada más probable fue la explotación de credenciales comprometidas o vulnerabilidades en servicios de acceso remoto.

Uso de Remote Desktop Protocol (RDP) y VNC

Históricamente, el grupo ha mostrado una predilección por el compromiso de protocolos de escritorio remoto (RDP) y herramientas de administración como TeamViewer o AnyDesk. En un entorno de 2026, donde el trabajo híbrido sigue siendo la norma para muchas funciones administrativas bancarias, un solo punto final mal configurado o una cuenta sin Autenticación de Múltiples Factores (MFA) robusta puede ser la puerta de entrada para una intrusión de esta escala.

Movimiento Lateral y Exfiltración Silenciosa

Una vez dentro de la red, los operadores de Everest no activan el ransomware de inmediato. En su lugar, ejecutan una fase de reconocimiento prolongada. Utilizan herramientas legítimas del sistema para “vivir de la tierra” (Living off the Land), lo que les permite evadir la detección de muchos sistemas EDR (Endpoint Detection and Response) tradicionales. Durante esta fase:

1. Utilizan herramientas como ProcDump para volcar el proceso LSASS y extraer credenciales de memoria.
2. Escanean servidores de archivos y bases de datos SQL en busca de términos clave como “SSN”, “Tax”, “Internal” o “Client_List”.
3. Exfiltran los datos de manera fragmentada hacia servidores de comando y control (C2) alojados en infraestructuras cifradas, evitando disparar alertas de anomalías de tráfico masivo.

El ultimátum de 6 días: La psicología de la presión

El grupo ha establecido un reloj en cuenta regresiva que expira el 27 de abril de 2026. Esta táctica de presión psicológica es una marca registrada de las operaciones modernas de Everest ransomware. Al liberar muestras parciales de los datos, el grupo busca dos objetivos: validar la brecha ante la opinión pública y forzar a las instituciones a una negociación rápida para evitar multas regulatorias masivas bajo marcos como la CCPA o las nuevas directrices de la SEC para 2026.

Expertos en negociación de ransomware advierten que el grupo Everest es conocido por su falta de escrúpulos. En ataques anteriores, si el pago no se recibía, los datos eran subastados al mejor postor en foros de la Dark Web antes de ser filtrados gratuitamente, lo que garantiza que la información sea explotada por múltiples redes de fraude simultáneamente.

Impacto en los clientes: Del fraude financiero al robo de identidad

Para los clientes de Frost Bank y Citizens Bank, la situación es crítica. La inclusión de números de Seguro Social y registros hipotecarios en manos del Everest ransomware abre la puerta a una variedad de ataques fraudulentos:

• Fraude de Préstamos: Con los TIN y los registros de ingresos, los criminales pueden solicitar créditos fraudulentos a nombre de las víctimas.
• Ataques de “Sim Swapping”: Utilizando la información personal exfiltrada para engañar a los proveedores de telecomunicaciones y tomar control de los teléfonos de los clientes, superando así los controles de MFA basados en SMS.
• Extorsión Secundaria: Los atacantes podrían contactar directamente a los clientes de alto perfil, amenazándolos con revelar su situación financiera privada si no realizan pagos individuales en criptomonedas.

Lecciones para el sector financiero en 2026

Este incidente subraya una verdad incómoda: a pesar de las inversiones multimillonarias en ciberseguridad, el eslabón más débil sigue siendo la gestión de identidades y la seguridad de terceros. La tendencia de 2026 muestra que los grupos de ransomware ya no están interesados en simplemente “detener” la operación de un banco; su objetivo es convertir los datos de los clientes en un activo líquido.

Hacia una arquitectura de Zero Trust real

Para mitigar ataques como los de Everest ransomware, las instituciones financieras deben ir más allá del cumplimiento normativo básico. La implementación de una arquitectura de Zero Trust (Confianza Cero) que verifique cada solicitud de acceso, independientemente de si proviene del interior o exterior de la red, es fundamental. Esto incluye la micro-segmentación de bases de datos críticas, asegurando que un compromiso en un departamento administrativo no proporcione acceso automático a los registros centrales de los clientes.

La urgencia de las copias de seguridad inmutables

Aunque Everest se centra hoy en la extorsión de datos, la amenaza de cifrado siempre está presente. Las instituciones deben contar con backups inmutables que no puedan ser modificados ni eliminados por un atacante que haya obtenido privilegios de administrador. Sin embargo, como demuestra este caso, el backup no protege contra la filtración de datos, lo que resalta la necesidad de una DLP (Data Loss Prevention) avanzada impulsada por IA para detectar movimientos de datos no autorizados en tiempo real.

Conclusión: Un panorama de ciberamenazas en constante cambio

El ataque del grupo Everest ransomware contra Frost Bank y Citizens Financial Group marca un punto de inflexión en la guerra cibernética de 2026. La sofisticación del grupo, combinada con su agresiva estrategia de publicación de datos sensibles, pone de manifiesto que el riesgo reputacional y legal es ahora tan peligroso como la interrupción operativa. Mientras el reloj avanza hacia el vencimiento del ultimátum, el mundo financiero observa con cautela, sabiendo que la respuesta de estas instituciones definirá el estándar de resiliencia ante la extorsión digital en los años venideros. La seguridad ya no es una opción, es la base de la confianza bancaria en la era de la información.