El reciente incidente en Figure, donde se expusieron casi un millón de registros de correo electrónico sin explotar una sola vulnerabilidad, pone de manifiesto un problema arquitectónico fundamental: la seguridad de nuestras defensas de autenticación.
El descubrimiento de que los registros de Figure quedaron expuestos en febrero de 2026 sin necesidad de exploits complejos, resalta la importancia de comprender no solo cuántos datos se filtran, sino qué permite hacer a los adversarios.
Este tipo de brechas no son un evento final, sino el punto de partida para ataques más sofisticados. Es crucial analizar la cadena de ataque que se desencadena y determinar si nuestros controles de autenticación actuales pueden interrumpirla efectivamente.
¿Qué Hacen los Adversarios con Datos de Correo Electrónico Masivos?
Los correos electrónicos expuestos no son datos estáticos; son insumos operativos para los atacantes. En cuestión de horas, estos datos se utilizan en:
- Credencial Stuffing: Los atacantes combinan las direcciones de correo con bases de datos de brechas anteriores (como LinkedIn o Dropbox) y prueban estas credenciales contra portales empresariales, VPNs y proveedores de identidad. Los éxitos rondan el 2-3%, lo que puede resultar en miles de cuentas comprometidas.
- Phishing Dirigido: Herramientas asistidas por IA generan campañas de phishing personalizadas que imitan comunicaciones internas, utilizando datos de perfiles profesionales para hacerlas más convincentes.
- Ingeniería Social en Mesas de Ayuda: Los atacantes se hacen pasar por empleados para solicitar restablecimientos de contraseñas o MFA a los equipos de soporte, eludiendo completamente la tecnología de autenticación.
Estos flujos de trabajo demuestran que el objetivo no es romper sistemas, sino iniciar sesión como usuarios válidos, aprovechando las condiciones que la propia autenticación crea.
El MFA Tradicional y su Incapacidad para Detener la Cadena de Ataque
La creencia de que el MFA (Autenticación de Múltiples Factores) protege contra estas amenazas es, en muchos casos, estructuralmente incorrecta. Los ataques modernos como el relay en tiempo real (o ataque Adversary-in-the-Middle) son particularmente efectivos:
- Un adversario crea un proxy inverso entre la víctima y el servicio legítimo.
- Cuando la víctima ingresa sus credenciales y responde a un desafío MFA (notificación push, SMS, TOTP), el proxy las retransmite.
- El resultado es una sesión autenticada en manos del atacante.
Herramientas como Evilginx o Modlishka automatizan estos ataques, y son de fácil acceso. Además, la fatiga del MFA, donde los atacantes envían repetidas solicitudes de aprobación hasta que el usuario cede por error, agrava el problema.
El punto débil es que el MFA tradicional a menudo confía en el juicio humano en el último paso, un juicio que los atacantes están diseñados para manipular.
El Problema Arquitectónico que el MFA No Resuelve
La solución habitual de educar a los usuarios es insuficiente. En un ataque de relay, el prompt MFA es real, y la página parece legítima. El usuario no tiene nada anómalo que detectar.
La verdadera pregunta es si se puede probar que el individuo autorizado estuvo físicamente presente en el momento de la autenticación. Los métodos MFA comunes (notificaciones push, SMS, TOTP) no responden a esto. Las passkeys, aunque avanzan, aún pueden ser vulnerables a través de la recuperación de cuentas o la posesión del dispositivo, no necesariamente la presencia humana.
¿Qué Requiere una Autenticación Realmente Resistente al Phishing?
La autenticación verdaderamente resistente debe poseer tres propiedades:
- Vinculación criptográfica al origen: La autenticación está matemáticamente ligada al dominio exacto, impidiendo que un sitio falsificado funcione.
- Claves privadas en hardware seguro que nunca salen: Las claves de firma no se pueden exportar o copiar, protegiendo contra el compromiso del endpoint.
- Verificación biométrica en vivo del individuo: Una coincidencia en tiempo real que confirma la presencia física del usuario autorizado en el momento de la autenticación.
Cuando estas tres propiedades se combinan, los ataques de relay son imposibles. No hay aprobación que manipular, y la autenticación solo ocurre si el usuario autorizado está presente y verificado.
Token: Verificando al Humano, No al Dispositivo
La plataforma Biometric Assured Identity de TokenCore se basa en un principio: verificar al humano, no al dispositivo, credencial o sesión. Combina biometría, criptografía en hardware y verificación de proximidad física para garantizar que el individuo correcto esté presente.
Sin Phishing: Cada autenticación se vincula criptográficamente al dominio exacto. Sin Replay: La clave privada nunca abandona el hardware. Sin Delegación: Se requiere una coincidencia biométrica en vivo. Sin Excepciones: No hay códigos de respaldo o flujos de recuperación que sustituyan la presencia biométrica.
El factor de forma es clave: Token es inalámbrico y rápido. La autenticación se completa en segundos, eliminando la fricción que lleva a soluciones alternativas.
A diferencia de los tokens USB, Token es actualizable de forma remota, adaptándose a las amenazas emergentes sin necesidad de reemplazar hardware.
Token verifica al humano. No la sesión. No el dispositivo. No el código. Al humano.
Una Evaluación Honesta: La Necesidad de una Arquitectura Robusta
Las brechas de datos continuarán, y los ataques de autenticación downstream seguirán ocurriendo. La pregunta no es si estos ataques sucederán, sino si nuestra arquitectura de autenticación depende del juicio humano o está diseñada para ser infalible.
El MFA tradicional depende del juicio humano, un punto de control frágil que los atacantes explotan. Token elimina esta dependencia: la autenticación solo ocurre con una coincidencia biométrica confirmada y la vinculación correcta. Esto es una necesidad arquitectónica para una seguridad robusta.
Si tu organización, como las del sector de defensa, financiero o de infraestructura crítica, no puede permitirse fallos en la autenticación, considera soluciones que verifiquen realmente al usuario. Para ello, puedes contactarnos y te asesoraremos sobre la mejor estrategia de seguridad para ti. Contáctanos. ¡Estamos aquí para ayudarte!
