La brecha en **Figure** expuso 967,200 registros de correo electrónico sin un solo exploit. Comprender qué permite esto —y por qué su MFA no puede contenerlo— es un problema arquitectónico, no un problema de educación del usuario. En febrero de 2026, TechRepublic informó que **Figure**, una empresa de servicios financieros, expuso casi 967,200 registros de correo electrónico en una brecha de datos recién revelada. No se encadenó ninguna vulnerabilidad. No se quemó ningún zero-day. Los registros eran accesibles y ahora están en manos de adversarios. La cobertura de brechas como esta tiende a detenerse en la cantidad. Ese es el lugar equivocado para detenerse. El número de registros expuestos no es el evento — es el inventario inicial para el evento que sigue. Para comprender el riesgo real, debe seguir la cadena de ataque que permite una exposición de credenciales como esta, paso a paso, y preguntarse honestamente si los controles de autenticación en su entorno pueden interrumpirla en algún punto. La mayoría no puede. He aquí por qué. ## Qué hacen los adversarios con 967,000 registros de correo electrónico Las direcciones de correo electrónico expuestas no son datos estáticos. Son entradas operativas. A las pocas horas de que un conjunto de registros como este esté disponible, los adversarios lo ejecutan a través de varios flujos de trabajo paralelos simultáneamente. El primero es el *credential stuffing*. Los clientes y empleados de **Figure** casi con certeza reutilizaron contraseñas en varios servicios. Los adversarios combinan las direcciones expuestas con bases de datos de brechas de incidentes anteriores — **LinkedIn**, **Dropbox**, RockYou2024 — y prueban los pares resultantes contra portales empresariales, gateways VPN, **Microsoft 365**, **Okta**, y proveedores de identidad a escala. La automatización maneja el volumen. Las tasas de éxito en las campañas de *credential stuffing* contra listas de correos recientes suelen ser del dos al tres por ciento. Sobre 967,000 registros, eso son 19,000 a 29,000 pares de credenciales válidas. El segundo flujo de trabajo es el *phishing* dirigido. Las herramientas asistidas por IA ahora pueden generar campañas de *phishing* personalizadas a partir de una lista de correos en minutos. Los mensajes hacen referencia a la organización por su nombre, suplantan comunicaciones internas y son visualmente indistinguibles de la correspondencia legítima. La segmentación específica del destinatario —utilizando el cargo, el departamento o datos públicos de **LinkedIn** para adaptar el señuelo— es una práctica estándar, no una capacidad reservada para actores de nivel estatal. El tercero es la ingeniería social en el *help desk*. Armados con una dirección de correo electrónico válida y OSINT básico, los adversarios se hacen pasar por empleados en llamadas a los equipos de soporte de TI, solicitando restablecimientos de contraseña, restablecimientos de dispositivos MFA o desbloqueos de cuentas. Este vector de ataque elude por completo la tecnología de autenticación — apunta al proceso humano que existe para manejar fallos de autenticación. En cada uno de estos flujos de trabajo, no se requiere ninguna vulnerabilidad técnica. El objetivo del adversario no es infiltrarse. Es iniciar sesión como un usuario válido. La brecha no crea acceso. Crea las condiciones bajo las cuales el acceso se vuelve alcanzable a través del propio sistema de autenticación. <div> <h2><a rel="nofollow noopener" href="https://www.tokencore.com/?utm_campaign=41564278-Content-Syndication-BleepingComputer-When-Attackers-Already-Have-the-Keys&amp;utm_source=BleepingComputer&amp;utm_medium=Content-Syndication">Convierta la autenticación en garantía</a></h2> <p>La plataforma de identidad biométrica garantizada de **Token** está diseñada para organizaciones donde el fallo de autenticación no es un resultado aceptable.</p> <p>Vea cómo **Token** puede fortalecer la garantía de identidad en su pila de IAM, SSO y PAM existente.</p> <p><a rel="nofollow noopener" href="https://www.tokencore.com/?utm_campaign=41564278-Content-Syndication-BleepingComputer-When-Attackers-Already-Have-the-Keys&amp;utm_source=BleepingComputer&amp;utm_medium=Content-Syndication">Más información</a></p> </div> ## Por qué el MFA heredado no puede interrumpir esta cadena Esta es la parte del análisis que la mayoría de los informes post-mortem de incidentes subestiman. Las organizaciones leen sobre una exposición de credenciales y concluyen que su implementación de MFA las protege. Para la cadena de ataque descrita anteriormente, esa conclusión es estructuralmente incorrecta. Las herramientas modernas de adversarios ejecutan lo que los investigadores de seguridad llaman un *relay* de *phishing* en tiempo real, a veces denominado ataque de adversario en el medio (AiTM). La mecánica es precisa. Un adversario construye un proxy inverso que se sitúa entre la víctima y el servicio legítimo. Cuando la víctima introduce credenciales en la página falsificada, el proxy reenvía esas credenciales al sitio real en tiempo real. El sitio real responde con un desafío MFA. El proxy reenvía ese desafío a la víctima. La víctima responde —porque la página parece legítima y el *prompt* MFA es real. El proxy reenvía la respuesta. El adversario recibe una sesión autenticada. El MFA de notificación *push*, los códigos SMS de un solo uso y las aplicaciones de autenticación TOTP son vulnerables a este *relay*. Autentican el intercambio de un código. No verifican que el individuo que completa el intercambio sea el titular de la cuenta autorizado. No pueden distinguir una sesión directa de una proxied. Los kits de herramientas que automatizan este ataque —Evilginx, Modlishka, Muraena, y sus derivados— están disponibles públicamente, se mantienen activamente y no requieren técnicas avanzadas para operar. La capacidad no es exótica. Es la base. La fatiga MFA agrava esto. Los adversarios que obtienen credenciales válidas pero no pueden hacer *relay* de la sesión en tiempo real, en su lugar, activarán notificaciones *push* repetidas hasta que un usuario apruebe una por frustración o confusión. Este ataque se ha utilizado con éxito contra organizaciones con programas de seguridad maduros, incluso en incidentes que recibieron una cobertura pública significativa. El hilo común en todas estas técnicas: el MFA heredado coloca a un ser humano en el punto de decisión final de la cadena de autenticación, y luego confía en que ese humano tome la decisión correcta en condiciones específicamente diseñadas para derrotarlo. ## El problema estructural que el MFA heredado no puede resolver La respuesta estándar de la industria de la seguridad a los fallos de autenticación es la educación del usuario. Entrenar a las personas para reconocer el *phishing*. Enseñarles a verificar las notificaciones MFA inesperadas. Recordarles que no aprueben solicitudes que no iniciaron. Esta respuesta no está mal. Es insuficiente, y la insuficiencia es arquitectónica, no motivacional. Ataques de *relay* no requieren que un usuario reconozca una página de *phishing*. El *prompt* MFA que reciben es real, emitido por el servicio legítimo, entregado a través de la misma aplicación que usan todos los días. No hay nada anómalo que el usuario deba detectar. El ataque está diseñado para ser invisible para el humano en el bucle — y lo es. El problema más profundo es que la arquitectura de autenticación que la mayoría de las organizaciones han implementado no fue diseñada para responder a la pregunta que realmente importa en un entorno post-brecha: ¿estaba el individuo autorizado físicamente presente y verificado biométricamente en el momento de la autenticación? Las notificaciones *push* no responden a esta pregunta. Los códigos SMS no responden a esta pregunta. TOTP no responde a esta pregunta. Los tokens de hardware USB responden a una pregunta relacionada pero diferente — prueban que el dispositivo registrado estuvo presente, no la persona autorizada. Auditores, reguladores y aseguradoras cibernéticas están cada vez más estableciendo esta distinción explícitamente. La pregunta "¿puede probar que el individuo autorizado estuvo allí?" aparece en las evaluaciones CMMC, los exámenes NYDFS y los cuestionarios de los suscriptores. La presencia del dispositivo ya no se acepta como un sustituto de la presencia humana en contextos de acceso de alto riesgo. ## Qué requiere realmente la autenticación resistente al phishing **FIDO2**/WebAuthn se cita con frecuencia en esta conversación, y es un paso adelante significativo — pero no es suficiente por sí solo. Las implementaciones estándar de *passkey* vinculan la credencial a un dispositivo o cuenta en la nube. Las *passkeys* sincronizadas en la nube heredan las vulnerabilidades de la cuenta en la nube: ataques de intercambio de SIM contra el número de teléfono de recuperación, toma de control de cuentas a través de *phishing* de credenciales, explotación del flujo de recuperación. Las *passkeys* vinculadas al dispositivo prueban la posesión del dispositivo. No prueban la presencia humana. La autenticación resistente al *phishing* que cierra el vector de ataque de *relay* requiere tres propiedades simultáneamente: * **Vinculación criptográfica de origen:** la credencial de autenticación está matemáticamente ligada al dominio de origen exacto. Un sitio falsificado no puede producir una firma válida porque el dominio no coincide. El ataque falla antes de que se transmita cualquier credencial. * **Claves privadas vinculadas a hardware que nunca abandonan el hardware seguro:** la clave de firma no puede ser exportada, copiada o exfiltrada. El compromiso del endpoint no compromete la credencial. * **Verificación biométrica en vivo del individuo autorizado:** no una plantilla biométrica almacenada que pueda ser reproducida, sino una coincidencia en tiempo real que confirma que la persona autorizada está físicamente presente en el momento de la autenticación. Cuando las tres propiedades están presentes, un ataque de *relay* no tiene un camino viable. El adversario no puede producir una firma criptográfica válida desde un sitio falsificado. No pueden hacer *relay* de una sesión porque la vinculación criptográfica falla en el momento en que cambia el origen. No pueden usar un dispositivo robado porque la verificación biométrica falla sin el individuo autorizado. No pueden hacer ingeniería social para obtener una aprobación porque no hay una solicitud de aprobación — la autenticación se completa con una coincidencia biométrica en vivo en el hardware registrado, o no se completa. ## Token: Identidad Criptográfica que Verifica al Humano, No al Dispositivo <a rel="nofollow noopener" href="https://www.tokencore.com/?utm_campaign=41564278-Content-Syndication-BleepingComputer-When-Attackers-Already-Have-the-Keys&amp;utm_source=B