Robo masivo de datos en Figure Technology Solutions expone información de casi un millón de usuarios

Introducción

El sector fintech vuelve a situarse en el centro de la actualidad tras confirmarse una brecha de seguridad en Figure Technology Solutions, una compañía estadounidense que basa sus operaciones en tecnología blockchain. El incidente, que ha comprometido la información personal y de contacto de aproximadamente un millón de cuentas, pone de relieve los riesgos inherentes a la gestión y protección de datos sensibles en plataformas financieras digitales. Este artículo analiza en detalle el ataque, sus implicaciones técnicas y las medidas recomendadas para mitigar futuras amenazas en el entorno fintech.

Contexto del Incidente

Figure Technology Solutions, autodefinida como una fintech nativa de blockchain especializada en préstamos hipotecarios, gestión de activos y soluciones de pago, sufrió recientemente una intrusión significativa. El acceso no autorizado se detectó tras la aparición de datos de clientes en foros de compraventa en la dark web, lo que disparó las alarmas tanto en la propia empresa como entre los profesionales de ciberseguridad.

Según la comunicación oficial de Figure, el ciberataque permitió a actores maliciosos acceder a información personal y de contacto de cerca de 1 millón de usuarios registrados en las distintas plataformas gestionadas por la compañía. El incidente afecta tanto a clientes actuales como a antiguos, incrementando la superficie de exposición y complejidad de la gestión de la crisis.

Detalles Técnicos del Ataque

Los detalles técnicos del ataque aún se están investigando, pero los primeros análisis forenses apuntan a la explotación de una vulnerabilidad en una aplicación web de la compañía, potencialmente relacionada con una mala configuración de permisos de acceso (exceso de privilegios) o la explotación de una API expuesta. No se ha confirmado aún un CVE específico, aunque las características del ataque sugieren la posible explotación de vectores conocidos como Inyección SQL (T1190, MITRE ATT&CK) o abuso de credenciales comprometidas (T1078).

Los datos filtrados incluyen nombres completos, direcciones de correo electrónico, números de teléfono, direcciones físicas y, en algunos casos, información financiera parcial. Las muestras publicadas en foros underground han sido autenticadas por analistas de amenazas, que han confirmado su veracidad. No se ha detectado, por el momento, que los atacantes hayan utilizado frameworks avanzados como Cobalt Strike o Metasploit durante el acceso inicial, aunque no se descarta su uso en fases posteriores para movimiento lateral.

Entre los Indicadores de Compromiso (IoC) relevantes destacan direcciones IP asociadas a infraestructura de comando y control (C2) en Europa del Este, así como patrones de tráfico anómalos en los registros de acceso de la API de Figure en el periodo previo a la detección de la brecha.

Impacto y Riesgos

El impacto de la brecha es considerable, tanto por el volumen de datos comprometidos como por la naturaleza de la información expuesta. Aproximadamente el 10% de la base total de usuarios se ha visto afectada, lo cual supone un riesgo significativo de ataques de ingeniería social, phishing dirigido y posibles fraudes financieros.

Desde una perspectiva de cumplimiento normativo, el incidente puede suponer una vulneración de la GDPR para los usuarios europeos, así como de la normativa NIS2 en lo referente a la notificación de incidentes y protección de datos en servicios esenciales. Las consecuencias económicas pueden traducirse en sanciones millonarias, además del daño reputacional y la posible pérdida de confianza de inversores y clientes.

Medidas de Mitigación y Recomendaciones

Figure ha notificado a los usuarios afectados y está colaborando con agencias federales y especialistas externos en respuesta a incidentes. La compañía ha iniciado un proceso de revisión integral de sus sistemas, incluyendo:

– Auditoría de permisos y privilegios en aplicaciones y APIs.
– Implantación de autenticación multifactor (MFA) obligatoria para todos los accesos administrativos y de usuario.
– Refuerzo de los mecanismos de detección y respuesta ante anomalías (EDR, SIEM).
– Rotación de credenciales y actualización de certificados.
– Simulaciones de phishing y campañas de concienciación para usuarios internos y externos.

Se recomienda a otras empresas del sector adoptar un enfoque basado en Zero Trust, reforzar la monitorización continua y realizar pruebas de penetración periódicas que incluyan técnicas de explotación de APIs y validación de controles de acceso.

Opinión de Expertos

Según analistas de amenazas de Recorded Future y Mandiant, este incidente ilustra el creciente interés de los grupos de ciberdelincuentes en el sector fintech, especialmente en aquellas compañías que gestionan activos digitales y grandes volúmenes de datos personales. “La sofisticación de los ataques a plataformas de blockchain y fintech está aumentando, y las APIs siguen siendo un vector crítico y habitualmente subestimado”, señala un analista sénior de Mandiant.

Implicaciones para Empresas y Usuarios

Las empresas fintech deben reevaluar sus políticas de seguridad, priorizando la protección de interfaces expuestas y la gestión de identidades. Es clave implementar controles de acceso granular, monitorización avanzada y cifrado de datos en reposo y en tránsito. Los usuarios, por su parte, deben estar alerta ante posibles intentos de phishing y actualizar sus credenciales en todas las plataformas asociadas.

Conclusiones

El incidente en Figure Technology Solutions es un claro recordatorio de los riesgos asociados a la transformación digital en servicios financieros y de la importancia crítica de la ciberseguridad aplicada a datos personales y financieros. La adopción de buenas prácticas, la inversión en tecnología de detección y respuesta, y el cumplimiento estricto de la normativa serán determinantes para evitar que episodios similares se repitan en el sector.

(Fuente: www.bleepingcomputer.com)