Figure Technology, una empresa de préstamos basada en blockchain, confirmó el viernes que sufrió una violación de datos que comprometió información personal de sus clientes. Según declaraciones de la portavoz de la compañía, Alethea Jadick, la brecha de seguridad se originó cuando un empleado fue víctima de un ataque de ingeniería social que permitió a los hackers robar “un número limitado de archivos”. El incidente forma parte de una campaña más amplia de ciberataques que afectó a múltiples organizaciones.
El grupo de hackers ShinyHunters reivindicó la responsabilidad del ataque a través de su sitio web oficial en la dark web. Los cibercriminales publicaron 2.5 gigabytes de datos supuestamente robados después de que Figure Technology se negara a pagar un rescate, según indicaron en su comunicado.
Datos Comprometidos en la Brecha de Seguridad
TechCrunch revisó una porción de los datos filtrados, que incluían nombres completos de clientes, direcciones de domicilio, fechas de nacimiento y números de teléfono. La información expuesta representa un riesgo significativo para los usuarios afectados, quienes podrían ser vulnerables a intentos de robo de identidad y fraude.
Sin embargo, Figure Technology no respondió a una serie de preguntas específicas sobre el alcance completo de la violación de datos. La compañía tampoco especificó cuántos clientes fueron afectados por el incidente ni proporcionó detalles adicionales sobre el tipo de archivos comprometidos.
Ataque de Ingeniería Social Vinculado a Okta
Un miembro de ShinyHunters reveló a TechCrunch que Figure Technology fue una de las víctimas de una campaña de hackeo coordinada que se dirigió a clientes que dependen del proveedor de inicio de sesión único Okta. Este método de ataque explotó las credenciales de acceso a través de técnicas de ingeniería social, engañando a empleados para obtener acceso no autorizado a sistemas internos.
Adicionalmente, otras instituciones prestigiosas también fueron afectadas por esta misma campaña de ciberataques. Entre las víctimas se encuentran la Universidad de Harvard y la Universidad de Pensilvania, lo que sugiere que los atacantes ejecutaron una operación sofisticada y de gran alcance dirigida a múltiples organizaciones simultáneamente.
Respuesta de la Compañía
En su declaración oficial, Figure Technology informó que está trabajando “con socios y aquellos impactados” para mitigar las consecuencias del ataque. La empresa ofreció monitoreo de crédito gratuito “a todas las personas que reciban una notificación” sobre la violación de datos, una medida estándar en este tipo de incidentes de seguridad cibernética.
No obstante, la falta de transparencia sobre detalles críticos del incidente ha generado preocupación entre expertos en seguridad digital. La compañía no ha revelado cuándo exactamente ocurrió el ataque ni cuánto tiempo pasó antes de que fuera detectado, información crucial para evaluar el impacto total de la brecha.
Implicaciones para la Seguridad Empresarial
Este incidente subraya la vulnerabilidad continua de las organizaciones ante ataques de ingeniería social, incluso aquellas que operan en el sector de tecnología blockchain. Los ataques dirigidos a proveedores de inicio de sesión único como Okta representan un riesgo particular porque pueden comprometer múltiples sistemas y organizaciones simultáneamente.
Mientras tanto, las empresas que utilizan servicios de autenticación de terceros enfrentan el desafío de proteger no solo sus propios sistemas, sino también educar a sus empleados sobre las tácticas cada vez más sofisticadas de los cibercriminales.
Se espera que Figure Technology proporcione notificaciones adicionales a los clientes afectados en los próximos días y que las autoridades correspondientes investiguen el alcance completo de la violación de datos. La compañía no ha indicado si planea implementar medidas de seguridad adicionales o cambiar sus protocolos de autenticación tras este incidente. Los clientes afectados deberán estar atentos a posibles intentos de fraude y aprovechar los servicios de monitoreo de crédito ofrecidos.