Dentro del Breach de Iron Mountain: Lo Que el Grupo de Extorsión No Quería Que Supieras

Iron Mountain Incorporated es una empresa global de gestión de información con una larga trayectoria en almacenamiento de datos, gestión de registros, respaldo y recuperación, y destrucción segura de información, que presta servicios a una amplia base de clientes a nivel mundial.

A principios de febrero de 2026, un grupo de ciberdelincuencia que se hace llamar Everest afirmó en su sitio de filtraciones en la dark web que había robado aproximadamente 1.4 TB de documentos internos y datos de clientes de Iron Mountain. Según la publicación de Everest, el conjunto de datos incluía “documentos personales e información sobre clientes”, y el grupo estableció un plazo para publicar o explotar la supuesta información robada.

Sin embargo, de acuerdo con la respuesta oficial de Iron Mountain, la situación no correspondió a una brecha a gran escala de su infraestructura interna. En su lugar:

Los atacantes utilizaron credenciales comprometidas para acceder a una sola carpeta en un sistema de intercambio de archivos expuesto públicamente que contenía principalmente materiales de marketing y contenido relacionado con proveedores.
No hubo evidencia de despliegue de ransomware, instalación de malware en sistemas de Iron Mountain ni compromiso de sistemas centrales o repositorios de datos de clientes.
Iron Mountain confirmó que no se vieron involucrados datos confidenciales o sensibles de clientes.
La credencial comprometida fue desactivada, y la actividad parece haberse limitado exclusivamente a esa carpeta.

En otras palabras: la publicación de Everest representa una narrativa del actor de amenaza, mientras que los resultados de la investigación de Iron Mountain refutan la afirmación de que se hayan exfiltrado 1.4 TB de datos sensibles.

Contexto del Actor de Amenaza — Everest

¿Quién es Everest?

Everest es un grupo de ransomware/extorsión activo desde aproximadamente 2020.
Ha evolucionado desde ataques de cifrado y extorsión hacia robo de datos y extorsión corporativa mediante sitios de filtración.
El grupo también es conocido por actuar como broker de acceso inicial, vendiendo accesos a entornos corporativos comprometidos a otros actores de amenaza con fines lucrativos.

Tácticas y Comportamiento (según reportes del sector)

Basándose en inteligencia de amenazas y reportes del sector:

Everest suele publicar entradas de víctimas en su portal de filtraciones para presionar a las organizaciones a pagar o negociar.
En ocasiones, el grupo incluye capturas de pantalla o referencias a supuestas estructuras de directorios para generar presión sin liberar datos reales.
Las afirmaciones falsas o exageradas son comunes en tácticas de doble extorsión, diseñadas para forzar negociaciones.

En el caso de Iron Mountain, la afirmación de Everest sobre el robo de 1.4 TB —incluyendo supuestas carpetas con datos personales y de clientes— parece encajar dentro de este patrón de extorsión.

Desglose Técnico del Acceso No Autorizado

Aunque Iron Mountain describe el evento como un incidente limitado de uso indebido de credenciales y no como una brecha de sistemas internos, la secuencia técnica de los hechos puede describirse de la siguiente manera:

Paso 1 Compromiso de Credenciales

Se obtuvieron credenciales de una cuenta asociada a un servicio de intercambio de archivos.
El vector exacto del compromiso (phishing, fuerza bruta, credential stuffing, reutilización de contraseñas de filtraciones previas, etc.) no ha sido divulgado públicamente.
Lo que sí está confirmado es que el atacante poseía credenciales válidas para una carpeta específica utilizada por Iron Mountain para compartir materiales de marketing e investigación con terceros.

Paso 2 Acceso Lógico No Autorizado

Utilizando la credencial comprometida, el atacante se autenticó en el servicio de intercambio de archivos expuesto públicamente, obteniendo acceso de lectura al contenido.
Esto probablemente explotó el hecho de que una plataforma de intercambio de archivos —por diseño— acepta autenticación remota sin inspección profunda.
Aunque la carpeta era pública en términos de disponibilidad del servicio, requería autenticación, la cual fue lograda mediante el uso de credenciales comprometidas.

Paso 3 Descarga de Datos

El atacante descargó el contenido de la carpeta, que Iron Mountain describe como principalmente materiales de marketing compartidos con proveedores.
Este tipo de materiales suele incluir contenido promocional, folletos, presentaciones, material para socios y diseños preliminares, y no registros centrales de clientes ni información altamente sensible.
Iron Mountain enfatizó que ningún dato confidencial de clientes estaba presente en dicha carpeta.

Paso 4 Narrativa en Sitio de Filtración de la Dark Web

El actor de amenaza publicó una afirmación en su portal de filtraciones, alegando una brecha mucho más extensa y dañina que la confirmada por la investigación interna de Iron Mountain.
No se han liberado públicamente muestras de datos verificables por parte de Everest; en su lugar, se utilizaron referencias o capturas como parte de la táctica de negociación.

Discrepancia entre la Afirmación y la Confirmación

La diferencia técnica entre lo afirmado por el actor de amenaza y lo confirmado por Iron Mountain es clave:

Afirmación de Everest

Aproximadamente 1.4 TB de documentos internos robados, incluyendo datos personales y de clientes
Supuestas capturas de pantalla de directorios comprometidos
Establecimiento de plazos para presionar el pago

Este tipo de afirmaciones es coherente con el comportamiento típico de grupos de ransomware con doble extorsión, que inflan el impacto para generar miedo y urgencia.

Posición Oficial de Iron Mountain

Acceso limitado a un solo directorio en un sistema de intercambio de archivos
Datos compuestos principalmente por materiales de marketing y contenido para terceros
Sin archivos confidenciales de clientes
Sin ransomware ni malware
Sin compromiso de sistemas internos, más allá del uso indebido de una credencial

Esto indica que el evento fue un uso indebido de credenciales que permitió acceso no autorizado a un conjunto limitado de datos compartidos externamente, y no una brecha sistémica de la infraestructura interna de Iron Mountain.

Perfil Operativo del Actor de Amenaza

Aunque el incidente de Iron Mountain parece limitado, comprender el comportamiento general de Everest ayuda a contextualizar el riesgo:

El grupo utiliza su portal de filtraciones para publicitar supuestas brechas y presionar a las víctimas.
Frecuentemente comparte pruebas parciales, como capturas de pantalla, en lugar de publicar datos completos, para evitar una exposición inmediata.
Los patrones de explotación observados en otros casos —como el uso de credenciales robadas para acceder a servicios remotos o sistemas de proveedores— son consistentes con rutas de acceso oportunistas, no con el uso de exploits de día cero o malware avanzado.

Qué Significa Esto Técnicamente

Desde una perspectiva de ingeniería de seguridad y respuesta a incidentes, el caso de Iron Mountain ilustra varias realidades técnicas:

El compromiso de credenciales por sí solo puede habilitar acceso no autorizado a servicios externos, incluso cuando los sistemas internos permanecen seguros.
Los sistemas de intercambio de archivos expuestos públicamente están diseñados para aceptar conexiones externas, lo que los convierte en objetivos atractivos si las credenciales son comprometidas.
No se detectó malware ni ransomware, lo que indica que el atacante no logró pivotar hacia la red interna ni escalar privilegios.
La exageración del impacto es una táctica común de extorsión, incluso cuando el conjunto de datos accedido tiene bajo valor sensible.
Los patrones de extorsión de actores de amenaza suelen basarse en plazos y afirmaciones infladas para influir en decisiones corporativas.

El incidente de Iron Mountain no constituye una brecha clásica de infraestructura central. Se trata de un caso de acceso no autorizado mediante el uso indebido de credenciales a un sistema de intercambio de archivos expuesto, cuyo contenido era mayoritariamente material de marketing compartido con proveedores. Iron Mountain ha afirmado de forma categórica que:

No se accedió a datos sensibles de clientes.
No se desplegó ransomware ni malware.
No se comprometieron sistemas internos más allá del contexto del sistema de intercambio de archivos.
La credencial comprometida fue deshabilitada.

Mientras tanto, las afirmaciones del actor de amenaza sobre el robo de 1.4 TB de datos internos forman parte de una narrativa de extorsión, típica de grupos como Everest, utilizada para presionar pagos y demostrar supuestas capacidades, sin reflejar necesariamente una exfiltración verificada de datos.

Jarvis Wagner

Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.