Dentro de la Brecha de Seguridad de Figure Technology: El Golpe de Ingeniería Social de ShinyHunters Expone a Casi un Millón

Todo comenzó con un engaño sencillo - el susurro de un ciberdelincuente en el oído correcto. Cuando Figure Technology, una destacada plataforma de préstamos basada en blockchain, se dio cuenta de lo sucedido, casi un millón de sus clientes ya habían sido arrastrados a una de las brechas de datos más alarmantes del año. ¿El culpable? ShinyHunters, un notorio colectivo de hackers con gusto por las hazañas que acaparan titulares y un apetito insaciable por datos de alto valor.

La brecha, confirmada por Figure Technology, implicó la exfiltración y publicación en línea de 2,5 gigabytes de datos de clientes. Analistas de ciberseguridad rastrearon rápidamente la filtración hasta una base de datos que contenía 967.200 direcciones de correo electrónico únicas, nombres, direcciones físicas, fechas de nacimiento y números de teléfono - ingredientes ideales para el robo de identidad y estafas dirigidas.

Según la portavoz de Figure, Alethea Jadick, la brecha no fue el resultado de un sofisticado ataque de malware ni de una intrusión por fuerza bruta. En cambio, fue un caso clásico de ingeniería social: un empleado fue engañado, dando a ShinyHunters el acceso justo para arrebatar lo que la empresa eufemísticamente llamó “un número limitado de archivos”. Las consecuencias, sin embargo, estuvieron lejos de ser limitadas.

ShinyHunters, ya infame en el submundo cibernético, se atribuyó la responsabilidad y no perdió tiempo en filtrar los datos robados en su plataforma de la dark web. Su campaña, resulta ser, fue de gran alcance. Figure fue solo una de varias víctimas de alto perfil atacadas a través de vulnerabilidades en Okta, un proveedor de inicio de sesión único ampliamente utilizado. Universidades como Harvard y UPenn también estuvieron en la mira, con más de un millón de carpetas expuestas solo en esos ataques.

Si bien la motivación parece ser una simple extorsión - sin manifiesto político, solo una demanda de pago - la escala y precisión de la operación han sacudido tanto a empresas fintech como a instituciones educativas. Figure ha respondido notificando a los usuarios afectados y ofreciendo monitoreo de crédito gratuito, pero la amenaza de fraudes y campañas de phishing posteriores persiste.

Esta brecha es un recordatorio contundente: incluso las organizaciones más avanzadas tecnológicamente son tan seguras como su empleado menos vigilante. En una era donde los atacantes combinan habilidad técnica con manipulación psicológica, el factor humano sigue siendo el eslabón más débil.

Mientras se asienta el polvo, Figure Technology y sus clientes se suman a una lista creciente de víctimas que aprenden una dura verdad: el futuro de la ciberseguridad se ganará o perderá no solo en el código, sino en las mentes y comportamientos de las personas comunes.

WIKICROOK

• Brecha de Datos: Una brecha de datos ocurre cuando partes no autorizadas acceden o roban información privada de una organización, lo que a menudo lleva a la exposición de datos sensibles o confidenciales.
• Ingeniería Social: La ingeniería social es el uso del engaño por parte de hackers para que las personas revelen información confidencial o permitan el acceso no autorizado a sistemas.
• Inicio de Sesión Único: El inicio de sesión único (SSO) permite a los usuarios acceder a múltiples servicios con una sola autenticación, simplificando el acceso pero aumentando el riesgo si las credenciales se ven comprometidas.
• Dark Web: La dark web es la parte oculta de Internet, accesible solo con software especial, donde a menudo se realizan actividades ilegales y se garantiza el anonimato.
• Robo de Identidad: El robo de identidad es un delito en el que alguien utiliza los datos personales de otra persona sin su consentimiento, generalmente para cometer fraude o robo financiero.