Una filtración masiva ha expuesto los datos personales de casi un millón de usuarios tras un ataque dirigido a los sistemas de Figure Technology Solutions, una compañía fintech que opera sobre blockchain y que se describe como nativa de esa tecnología. Aunque la empresa no publicó inicialmente un comunicado extenso, fuentes periodísticas y servicios de notificación de fugas de datos han ido reconstruyendo el alcance del incidente.
Figure, fundada en 2018 y conocida por utilizar la blockchain Provenance en productos de préstamo, inversiones y titulización, ha trabajado con más de 250 socios —entre bancos, cooperativas de crédito y otras fintechs— y afirma haber facilitado más de 22.000 millones de dólares en liquidez sobre el valor de vivienda. Puedes consultar más sobre la compañía en su web oficial figure.com y sobre la tecnología de libro mayor que emplean en provenance.io.
Según medios que contactaron con la empresa, Figure atribuyó lo sucedido a un ataque de ingeniería social en el que un empleado fue engañado para proporcionar acceso. El portal TechCrunch informó sobre la confirmación inicial de la compañía, y el servicio de notificaciones sobre filtraciones Have I Been Pwned publicó datos concretos que ayudan a dimensionar el incidente: 967.200 cuentas afectadas, con direcciones de correo únicas, nombres, números de teléfono, direcciones físicas y fechas de nacimiento, correspondientes a información que data de enero de 2026. Puedes revisar el registro de la brecha en Have I Been Pwned en haveibeenpwned.com/Breach/Figure.
El grupo conocido como ShinyHunters se adjudicó la acción y publicó en su sitio en la red oscura lo que dice ser un volcado de 2,5 GB proveniente de miles de solicitantes de préstamos. Grupos como este suelen explotar la información robada para extorsión, venta de ficheros o campañas de suplantación más dirigidas. Varios medios han reportado y rastreado su actividad en los últimos meses; entre las compañías que, según reclamaciones del grupo, han resultado afectadas se encuentran marcas de alto perfil en distintos sectores.
Este caso encaja en una tendencia preocupante que ha visto cómo atacantes combinan llamadas telefónicas de ingeniería social —la llamada modalidad “vishing”— con páginas de suplantación que imitan portales de acceso corporativos para capturar credenciales y códigos de autenticación multifactor. Un análisis reciente sobre esta técnica muestra ataques contra cuentas de inicio de sesión único (SSO) en proveedores como Okta, Microsoft y Google, utilizados como palanca para entrar después en otras aplicaciones empresariales conectadas. Un buen repaso de esa campaña y sus características técnicas se encuentra en el informe de SilentPush, que documenta cómo se suplantó a soporte técnico para persuadir a empleados de entregar credenciales y códigos MFA.
Una vez los atacantes toman control de un SSO, pueden moverse lateralmente para acceder a servicios críticos de una empresa: correo corporativo, sistemas de ventas, repositorios de documentos, plataformas de atención al cliente y otros. Ese tipo de acceso facilita desde fraudes financieros hasta robo de propiedad intelectual y campañas de suplantación que aprovechan la confianza entre empleados y clientes.
¿Qué pueden hacer las personas afectadas y las empresas ahora mismo? En primer lugar, cualquier usuario que crea que pudo verse afectado debería comprobar si su dirección de correo ha aparecido en la filtración a través de servicios como Have I Been Pwned y seguir las recomendaciones que allí se indican. Es recomendable cambiar contraseñas en los servicios en los que se reutilice la misma credencial, privilegiar contraseñas largas y únicas y activar métodos de autenticación más resistentes al phishing: las llaves de seguridad basadas en FIDO (hardware) son la opción más robusta frente al robo de códigos por ingeniería social —puedes informarte sobre esta tecnología en la página de la FIDO Alliance.
También conviene revisar movimientos inusuales en cuentas bancarias y tarjetas, preparar alertas con las entidades financieras y considerar la congelación del informe de crédito si se está en EE. UU.; para víctimas de robo de identidad, el portal oficial del gobierno estadounidense ofrece pasos concretos en identitytheft.gov. A nivel de buen uso general, la Agencia de Seguridad Cibernética y de Infraestructura de Estados Unidos (CISA) mantiene recomendaciones prácticas para protegerse contra el phishing y las variantes de ingeniería social en su guía sobre phishing.
Para las organizaciones, la lección va más allá del parche inmediato: es clave reforzar controles de acceso, implementar políticas de autenticación adaptativa y limitar privilegios con el principio de menor privilegio. Monitorizar y responder a sesiones anómalas del SSO, segmentar el acceso a datos sensibles y mantener programas continuos de concienciación para empleados que incluyan simulaciones realistas de phishing y vishing son medidas que reducen el impacto de este tipo de ataques. Las copias de seguridad, los planes de respuesta ante incidentes y la trazabilidad de accesos también resultan fundamentales para contener y recuperarse de intrusiones.
El episodio de Figure se suma a una oleada de intrusiones en empresas grandes y pequeñas en la que la combinación de ingeniería social y acceso a SSO se ha mostrado especialmente efectiva para los atacantes. Mientras las investigaciones continúan y los responsables responden a las exigencias legales y regulatorias de notificación, lo que pueden hacer tanto usuarios como empresas es actuar con rapidez para limitar daños y, sobre todo, cambiar la estrategia de defensa hacia mecanismos que sean menos vulnerables ante la suplantación de identidad.
Si quieres seguir fuentes actualizadas sobre este caso, el informe inicial y declaraciones de la compañía están disponibles en TechCrunch, el desglose técnico y la acusación del grupo extorsionador aparece en registros públicos y foros de seguridad, y el resumen de las cuentas afectadas lo ofrece Have I Been Pwned. Mantenerse informado y tomar medidas preventivas sigue siendo, hoy por hoy, la mejor defensa.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
YellowKey El fallo de BitLocker que podría permitir a un atacante desbloquear tu unidad con solo acceso físico
Microsoft ha publicado una mitigación para una vulnerabilidad de omisión de seguridad de BitLocker conocida como YellowKey (CVE-2026-45585), después de que su prueba de concepto...