¿Cómo engañar a toda una corporación con una simple palabra? El prestamista Figure cayó víctima de un ataque de ingeniería socia

El servicio de comprobación de filtraciones Have I Been Pwned se ha enriquecido con una nueva gran base de datos. En acceso público quedaron datos sobre clientes de la plataforma financiera Figure, y ahora cualquier persona puede comprobar si su dirección de correo electrónico figura en esa lista.

Have I Been Pwned añadió al catálogo de filtraciones los datos obtenidos del servicio de préstamos en línea Figure. El incidente ocurrió en enero de 2026, y en febrero la base se hizo pública. Según HIBP, se trata de 967.200 direcciones de correo electrónico únicas.

Además de direcciones de correo electrónico, la base contiene nombres de usuario, números de teléfono, direcciones particulares y fechas de nacimiento. Es decir, la filtración afecta no solo a las cuentas, sino también a datos personales que pueden ser utilizados para fraudes y robo de identidad.

En Figure confirmaron el incidente. La empresa declaró que la causa fue un ataque mediante ingeniería social. Los atacantes engañaron a un empleado para que proporcionara acceso a los sistemas internos. La compañía no reveló más detalles técnicos.

La filtración data de enero de 2026, y fue añadida al catálogo de Have I Been Pwned el 18 de febrero. Los usuarios de la plataforma pueden comprobar sus direcciones a través del servicio y, si es necesario, cambiar las contraseñas, así como prestar más atención a llamadas y correos sospechosos.