La fintech estadounidense Figure confirmó una filtración de datos masiva que expuso información sensible de cerca de un millón de usuarios.
El incidente se produjo tras un ataque de ingeniería social dirigido a un empleado de la compañía, lo que permitió a los atacantes acceder a archivos internos. La empresa minimizó el ataque y explicó que los hackers obtuvieron "un número limitado de archivos", aunque la magnitud del impacto contradice esa declaración.
En ese sentido, el investigador de seguridad Troy Hunt aseguró que se identificaron 967.200 direcciones de correo electrónico únicas vinculadas a clientes de la plataforma. Además de los correos, se habrían comprometido:
La compañía comenzó a notificar a los afectados y anunció que ofrecerá servicios gratuitos de monitoreo de crédito para quienes reciban la notificación oficial. Sin embargo, todavía no precisó cuándo se detectó la intrusión ni el alcance total de los datos comprometidos.
ShinyHunters, la organización de cibercriminales, se adjudicó la autoría del ataque y aseguró haber publicado 2.5 gigabytes de datos robados en su sitio web de filtraciones. Este grupo suele exponer públicamente a sus víctimas y difundir la información sustraída cuando no consigue extorsionarlas con éxito.
El robo de credenciales es una amenaza que lleva más de una década acechando, pero en 2026 alcanzó niveles de sofisticación inéditos.
Al igual que los ahorristas que buscan el truco para ganar intereses diarios en sus billeteras virtuales, los cibercriminales buscan maximizar su "rentabilidad" accediendo a una sola cuenta de correo que les sirva de llave maestra para llegar a plataformas corporativas e información financiera.
Según la telemetría de ESET, países como Brasil, México y Perú se encuentran entre los más afectados por malwares especializados en el robo de información. La investigadora de seguridad Martina López destaca que el ataque no siempre requiere un error del usuario; a veces, la vulnerabilidad está en las propias organizaciones.
ESET divide las técnicas de ataque en tres grandes grupos, cada uno con niveles de complejidad distintos:
Ingeniería Social (Phishing): Es el método más común. El atacante usa falsamente nombres de entidades públicas o empresas reconocidas para persuadir a la víctima de que entregue sus datos. Suelen apelar a la urgencia, simulando pagos rechazados o problemas con una cuenta que requieren "acción inmediata".
Malware Específico (Infostealers): Aquí no hay un engaño visible. Programas como los keyloggers o spyware actúan en segundo plano recolectando contraseñas almacenadas en navegadores y sesiones activas sin que la víctima lo perciba. Los troyanos bancarios son una subespecie letal: en 2025 se detectaron más de 650.000 casos únicos, con la familia Guildma a la cabeza.
Ataques a Organizaciones: Ocurren cuando las bases de datos de una empresa quedan expuestas por fallas de seguridad. Incluso si las claves están protegidas, la filtración de nombres de usuario permite realizar ataques de "relleno de credenciales" o fuerza bruta, aprovechando que la gente suele repetir sus contraseñas en varios sitios.
Los expertos recomiendan una combinación de prácticas esenciales que funcionan como blindaje multicapa: contraseñas únicas, doble factor de autenticación y gestores de claves dedicados. Además, aconsejaron otros tips clave como:
Contraseñas únicas: Evitá la reutilización de claves; si una cae, caen todas.
Doble factor de autenticación (MFA): Habilitar este mecanismo es vital, ya que funciona como un candado extra incluso si el atacante obtiene la contraseña.
Gestores de claves: Evitá guardar claves en texto plano o en el navegador; usá herramientas dedicadas.
Desconfianza proactiva: No hagas clic en anuncios patrocinados de buscad