La plataforma de préstamos Figure Technology confirmó que sufrió una violación de datos originada por un ataque de ingeniería social que comprometió la cuenta de un empleado. Según el comunicado remitido a TechCrunch, el incidente permitió la exfiltración de “un número limitado de archivos”; no obstante, el grupo ShinyHunters afirmó haber publicado 2,5 GB de información en su sitio de filtraciones en la dark web. La confirmación del incidente se hizo pública el February 13, 2026, y desde entonces la compañía ha comunicado que contacta a socios y a las personas afectadas.
La naturaleza del punto de entrada —un engaño dirigido a una persona— subraya que las barreras tecnológicas pueden fallar cuando el vector es humano. La ingeniería social se refiere a técnicas que manipulan a individuos para obtener credenciales o permisos; en este caso resultaron en la descarga de archivos que, según la revisión de TechCrunch, incluían datos personales como nombres completos, direcciones, fechas de nacimiento y números de teléfono. Figure indicó que ofrecerá monitoreo de crédito gratuito a todas las personas que reciban un aviso formal.
Qué ocurrió y quién reclama la filtración
El ataque fue atribuido públicamente por ShinyHunters, un colectivo que ha estado vinculado a filtraciones previas de alto perfil. En su anuncio, el grupo aseguró que Figure rechazó pagar un rescate y, como represalia, publicó el material supuestamente obtenido. TechCrunch pudo revisar una porción del volcado y verificó la presencia de información personal sensible. La cifra de 2,5 GB sugiere un volumen notable, aunque el tamaño del archivo no determina por sí solo el riesgo operativo o reputacional para la empresa y sus clientes.
Impacto potencial y datos expuestos
Aunque en el comunicado oficial Figure habla de un “número limitado de archivos”, este tipo de expresiones puede ocultar impacto real: una sola exportación puede contener registros de miles de clientes dependiendo del formato. La muestra revisada por medios incluía datos suficientes para facilitar suplantación de identidad y campañas de phishing más sofisticadas. La compañía no respondió a preguntas detalladas sobre el alcance total, lo que deja incertidumbres sobre cuántas personas fueron afectadas y qué tipos de documentos se filtraron.
Riesgos para los usuarios
La combinación de nombres, direcciones y fechas de nacimiento es valiosa para actores maliciosos: permite construir perfiles y diseñar ataques dirigidos o intentar recuperaciones de cuentas en otros servicios. Por eso, aunque Figure ofrezca monitoreo de crédito, es importante que las personas afectadas mantengan precaución ante comunicaciones no solicitadas y revisen configuraciones de seguridad en servicios donde reutilicen datos personales.
Contexto técnico: el foco en Okta y el SSO
Según declaraciones publicadas, un miembro de ShinyHunters afirmó que Figure estaba entre las víctimas de una campaña más amplia que apuntó a organizaciones que emplean el proveedor de inicio de sesión único Okta. El uso de single sign-on (SSO) facilita la gestión de accesos, pero cuando no se complementa con controles adecuados puede convertirse en un punto de fallo con efecto multiplicador. Si una cuenta de autenticación central se compromete, el atacante puede acceder a múltiples aplicaciones sin vulnerar cada sistema por separado.
Lecciones para fintechs y recomendaciones
El caso de Figure vuelve a evidenciar la necesidad de estrategias combinadas: políticas de control de accesos como MFA, principio de privilegio mínimo, formación continua en reconocimiento de phishing y planes de respuesta a incidentes probados. Para startups financieras, diseñar la seguridad desde la arquitectura inicial y adoptar auditorías periódicas son medidas que reducen la probabilidad de que un error humano derive en una crisis mayor. Además, considerar un seguro de ciberriesgo puede mitigar impactos económicos.
La comunicación pública también juega un papel clave: la transparencia sobre alcance, pasos a seguir y apoyo a los afectados ayuda a contener el daño reputacional. En este caso, la portavoz de Figure, Alethea Jadick, proporcionó el comunicado inicial, pero no respondió a preguntas específicas de los medios, lo que dejó vacíos informativos que podrían agravar la incertidumbre entre clientes y socios.
Ante campañas dirigidas a infraestructuras de SSO y la profesionalización de grupos como ShinyHunters, la prevención y la preparación son las mejores defensas.
