El grupo de ransomware Everest vulnera AT&T Careers, portal de bolsa de trabajo de la multinacional de telecomunicaciones AT&T, robando más de 500 mil registros de solicitantes de empleo de la empresa de telefonía.
Se conoce que el 21 de octubre de este año se identificó el ciberataque a AT&T Careers, por parte del grupo que ha expuesto información de empresas y organizaciones como Coca-Cola, Middle East, NASA, BMW y varios gobiernos sudamericanos.
En la entrada más reciente de su blog, Everest deja ver que la información está protegida con contraseña, y se aprecia un marcador que destaca que contiene 576 mil 686 registros cifrados de la página web .
Asimismo, es visible un contador de tiempo y una leyenda en inglés que indica que, para evitar la publicación de la información robada, el representante de la empresa de contactar con el grupo de hackers, para acordar el pago del rescate antes de que se agote el tiempo.
Esta no es la primera vez que AT&T es victima de agentes maliciosos. En agosto de 2021, el grupo de hackers ShinyHunters se atribuyó el robo de los datos de más de 70 millones de clientes de la empresa estadounidense. Sin embrago, no fue sino hasta 2024 que la compañía reconoció la filtración que afectó a aproximadamente a 7.6 millones de clientes actuales y 65.4 millones de exclientes.
Otra grave incidencia de seguridad se registró entre mayo y junio de este año, lo que derivó en la filtración de más de 86 millones de registros con número de seguridad social, junto con otros datos personales sensibles que datan de 2019 o antes. Como consecuencia, AT&T aceptó en junio de 2025 un acuerdo colectivo por 177 millones de dólares para resolver demandas derivadas de los incidentes de 2019 y 2024.
¿Qué es el ransomware y en qué consiste este ciberataque?
El ransomware es un tipo de malware que retiene datos e información confidencial mediante la encriptación o cifrado de la misma. Este ataque malicioso está diseñado para extorsionar a sus víctimas, que se ven impedidas a acceder a los datos en sus sistemas.
En el caso de AT&T Careers se puede observar que estamos ante un ataque de ransomware debido a la protección con contraseña que tiene la entrada del blog de Everest. Esto sugiere que el conjunto de datos completo no está disponible para descarga ni vista previa, y que el grupo de hackers está restringiendo el acceso.
Hasta el momento, AT&T no se ha pronunciado respecto al ataque de ransomware para de desmentir o verificar el ciberataque que compromete la base de datos de su plataforma oficial de reclutamiento que alberga información de candidatos y posibles empleados actuales de la multinacional estadounidense de telecomunicaciones.
Entre los datos que contiene la base de datos de AT&T Careers están: nombres completos, domicilios, números telefónicos, correos electrónicos, e incluso podría incluir números de seguridad social, ya que en algunos países es requerido durante el proceso de reclutamiento.
¿Qué se sabe del grupo de ransomware Everest?
El grupo de grupo de ransomware Everest se vincula a Rusia y ja logrado vulnerar la ciberseguridad de cerca de 90 organizaciones desde diciembre de 2025, fecha en que se conformó este grupo de agentes maliciosos. Se ha focalizado en afectar sectores como bienes de capital, atención médica y el sector público en el continente americano.
Everest suele infiltrarse mediante cuentas legítimas comprometidas y explotar el Protocolo de Escritorio Remoto (RDP) para moverse lateralmente dentro de las redes afectadas. Además, emplea herramientas de acceso remoto especializadas como canal secundario de comando y control, lo que le permite mantener la persistencia en los sistemas comprometidos.
Sus ataques siguen una estrategia de doble extorsión: primero, exfiltra información sensible y luego cifra los archivos críticos. De esta forma, las víctimas enfrentan una doble presión: la pérdida del acceso a sus sistemas y la amenaza de que los datos robados sean publicados si no pagan el rescate.
