La semana en brechas de seguridad

Norteamérica

FinWise Bank

No todos los ataques vienen de fuera. Sumándose al aumento de las amenazas internas en los últimos meses, la empresa estadounidense de tecnología financiera FinWise Bank ha advertido de que los datos de sus clientes pueden haber quedado expuestos tras un ataque interno malicioso.

FinWise Bank, que ofrece servicios bancarios y soluciones tecnológicas a entidades financieras, reveló que un antiguo empleado podría haber accedido u obtenido datos de sus clientes tras abandonar la empresa. La empresa, con sede en Utah, confirmó que los datos personales de 689 000 clientes, incluida información como nombres completos y otros datos no revelados, podrían haberse visto comprometidos. Algunos de los registros expuestos pertenecían a American First Finance (AFF), una entidad de crédito para personas con mal historial crediticio que colabora con FinWise para ofrecer préstamos a plazos.

Según una presentación ante la Oficina del Fiscal General de Maine, el incidente se produjo el 31 de mayo de 2024, pero no se detectó hasta el 18 de junio de este año. En respuesta, FinWise está ofreciendo a todos los clientes afectados 12 meses de monitorización de crédito gratuita y protección contra el robo de identidad.

Este es el último de una serie cada vez más larga de ataques maliciosos perpetrados por empleados internos con graves consecuencias. A principios de mayo, Coinbase Global, Inc., una plataforma estadounidense de intercambio de criptomonedas, también sufrió un incidente similar cuando un empleado del servicio de asistencia en el extranjero aceptó un soborno y robó datos pertenecientes a casi 70 000 clientes.

Norteamérica

Departamento del Tesoro de Michigan

El Departamento del Tesoro de Michigan ha instado a los residentes a ignorar los mensajes de texto no solicitados de ciberdelincuentes que se hacen pasar por la agencia y exigen información bancaria personal.

El 15 de septiembre de 2025, el departamento confirmó la existencia de una campaña generalizada de smishing en todo el Estado. Los mensajes de texto fraudulentos, que parecen proceder de la agencia, afirman que se ha procesado un reembolso y exigen que los contribuyentes presenten detalles de pago precisos o corren el riesgo de perder el reembolso. Los funcionarios subrayaron que Hacienda sólo se comunica con los contribuyentes a través de cartas oficiales enviadas por el Servicio Postal de EE.UU. y aconsejaron a los residentes que borraran inmediatamente cualquier mensaje de este tipo.

Este no es el primer caso de smishing dirigido a organismos estatales de Michigan. En abril, el Departamento de Transporte emitió una advertencia sobre mensajes de texto fraudulentos que se hacían pasar por E-ZPass y otros sistemas de peaje, exigían el pago de tasas y solicitaban los datos de la tarjeta de crédito.

Norteamérica

Infracción de un proveedor de Stellantis (matriz de Jeep/Chrysler)

Stellantis reveló el 21 de septiembre de 2025 que un proveedor externo que presta apoyo a sus operaciones de atención al cliente en Norteamérica sufrió un acceso no autorizado. Las primeras conclusiones indican que se ha producido una filtración de información básica de contacto de los clientes (por ejemplo, nombres, direcciones de correo electrónico y números de teléfono); Stellantis afirma que no parece que se hayan visto comprometidos datos financieros, números de identificación oficial u otros datos personales altamente sensibles. La empresa ha activado los procedimientos de respuesta a incidentes, ha notificado a los clientes afectados y a las autoridades reguladoras, y ha advertido a los clientes que se mantengan alerta ante posibles intentos posteriores de phishing o ingeniería social. La investigación y las medidas correctivas del proveedor siguen en curso.

Norteamérica

Tiffany & Co.

La joyería de lujo estadounidense Tiffany & Co. ha notificado a más de 2.500 clientes de Estados Unidos y Canadá que piratas informáticos robaron su información personal.

Según la notificación de la empresa, un actor malicioso obtuvo acceso no autorizado a los sistemas de Tiffany alrededor del 12 de mayo de 2025. La investigación reveló que el atacante se hizo con datos relacionados con las tarjetas regalo de Tiffany, entre los que se incluyen nombres, direcciones de correo electrónico, direcciones postales, números de teléfono, datos de ventas, números de tarjetas regalo y códigos PIN.

Tiffany forma parte del gigante francés del lujo LVMH, que también posee marcas como Louis Vuitton, Dior y Givenchy. Varias marcas de LVMH, entre ellas Louis Vuitton, Dior y Tiffany, se vieron recientemente afectadas por una campaña de intrusión de Salesforce. Aún no está claro si la brecha revelada esta semana está relacionada con esa campaña o si representa una intrusión independiente.

Norteamérica

Ciudad de Bluffton, Carolina del Sur

El Ayuntamiento de Bluffton ha alertado a los residentes y empresas de sus listas de correo sobre un ataque de phishing que se produjo el viernes 12 de septiembre.

Muchos destinatarios informaron de que habían recibido un correo electrónico malicioso con el asunto «Ayuntamiento de Bluffton». El correo incluía un archivo adjunto y pedía a los usuarios que introdujeran un código de acceso en una página de inicio de sesión falsa de Microsoft Outlook. Las autoridades aclararon que el ayuntamiento nunca envía correos electrónicos solicitando códigos de acceso.

Afortunadamente, el equipo informático de la ciudad actuó con rapidez para contener el ataque. Aunque el correo electrónico se envió desde una dirección falsa de la ciudad, el Departamento de TI pudo retirar el mensaje y minimizar el impacto.

Norteamérica

Pollard & Associates, Inc.

Pollard & Associates, Inc. una empresa de administración de terceros especializada en planes de jubilación independientes, ha confirmado una filtración de datos que ha afectado a miles de personas.

La empresa informó de que se detectó actividad sospechosa en su red alrededor del 15 de mayo de 2025. Una investigación posterior reveló que un agente no autorizado copió archivos alrededor del 8 de abril de 2025. Una revisión posterior determinó, el 15 de julio, que la filtración había comprometido información personal y financiera confidencial perteneciente al menos a 17 907 personas. Los datos expuestos incluían nombres, números de la Seguridad Social e información de cuentas bancarias.

El 16 de septiembre, la empresa empezó a enviar notificaciones a los afectados. La infracción también se ha comunicado a los fiscales generales de Maine, Montana, Massachusetts y Vermont.