Filtración en FICOBA: roban 1,2 millones de registros del censo francés de cuentas bancarias

La filtración en FICOBA en Francia ya se perfila como uno de los incidentes de ciberseguridad más sensibles del año en Europa: un atacante no identificado logró acceder a la base de datos del Estado francés que referencia todas las cuentas bancarias del país y extrajo 1,2 millones de registros. El acceso se produjo en enero y se realizó mediante credenciales robadas, un vector que sigue siendo crítico incluso en entornos gubernamentales con controles avanzados.

El hecho fue confirmado por el Ministry of Economics, Finance and Industrial and Digital Sovereignty, que detalló que el acceso fue cortado “inmediatamente” tras su detección, aunque no lo bastante rápido como para impedir la consulta y obtención de datos asociados a esas cuentas. La notificación oficial del incidente puede consultarse en el comunicado del propio ministerio: presse.economie.gouv.fr.

Qué implica la filtración en FICOBA en Francia

FICOBA (Fichier national des comptes bancaires et assimilés) es un fichero nacional que centraliza referencias sobre cuentas bancarias y productos asimilados, utilizado para finalidades administrativas y de control. En este incidente, según la comunicación del Gobierno, el atacante accedió a información personal vinculada a las cuentas afectadas, incluyendo números de cuenta, direcciones postales de los titulares y identificadores fiscales. No se ha indicado que se hayan sustraído credenciales bancarias operativas ni claves de acceso a banca online, pero la combinación de datos expuestos incrementa el riesgo de phishing dirigido, suplantación y fraude.

Las autoridades francesas señalan que se han movilizado los organismos especializados para gestionar el incidente y se ha advertido a los titulares potencialmente impactados que extremen precauciones ante mensajes sospechosos que intenten aprovechar el contexto de la brecha.

Vector de acceso: credenciales robadas y contención posterior

El ministerio atribuye el acceso a identificadores/credenciales comprometidos. Este matiz es relevante porque desplaza el foco desde una vulnerabilidad “clásica” de software hacia la gestión de identidades: account takeover, reutilización de contraseñas, robo de sesión o intrusión previa en el correo/SSO de un usuario con permisos. Aunque la contención se ejecutó tras detectar el acceso, el atacante mantuvo una ventana suficiente para extraer un volumen significativo de registros.

Contexto: explotación acelerada y presión constante sobre la defensa

El incidente se conoce en una semana especialmente activa en seguridad, con advertencias paralelas sobre explotación de vulnerabilidades críticas. En el ecosistema corporativo, investigadores han alertado de ataques contra sistemas sin parchear de Ivanti Endpoint Manager for Mobile (EPMM) aprovechando CVEs de severidad crítica. Para equipos de seguridad y administraciones públicas, el patrón es consistente: identidad comprometida, exposición de servicios y explotación rápida, con tiempos de reacción cada vez más reducidos.

En el caso de Ivanti EPMM, las vulnerabilidades referenciadas públicamente incluyen CVE-2026-1281 y CVE-2026-1340, recogidas en el NVD (NIST). Aunque no están relacionadas directamente con el incidente francés, ilustran el mismo problema sistémico: los atacantes están industrializando el recon, el movimiento lateral y la exfiltración.

Qué datos se vieron comprometidos y por qué importan

La exposición de número de cuenta + dirección + identificador fiscal aporta material suficiente para campañas de ingeniería social de alta precisión, especialmente si el atacante (o terceros que compren los datos) los correlacionan con filtraciones previas. En términos de riesgo, este tipo de dataset puede elevar la efectividad de estafas con apariencia de comunicaciones bancarias o administrativas, e incluso facilitar intentos de verificación fraudulenta en procesos donde se emplean datos fiscales como elemento de validación.

Lo que sabemos (y lo que no) sobre la filtración en FICOBA en Francia

• Confirmado: acceso no autorizado en enero mediante credenciales robadas y extracción de 1,2 millones de registros.
• Confirmado: datos consultados incluyen números de cuenta, direcciones e identificadores fiscales.
• No detallado públicamente: identidad del atacante, método exacto de robo de credenciales (phishing, malware, intrusión previa), duración del acceso y alcance total de consultas realizadas.
• No indicado: publicación o venta de los datos en foros clandestinos, o atribución a un grupo concreto.

A falta de más detalles técnicos, el caso vuelve a poner el foco en dos frentes: la gobernanza de accesos privilegiados y la monitorización de actividad anómala en sistemas que concentran información crítica a escala nacional. En las próximas semanas será clave si se publican indicadores adicionales, resultados de investigación o medidas reforzadas derivadas del incidente.

Por ahora, la filtración en FICOBA en Francia deja una señal clara para la industria: incluso cuando la explotación no depende de un 0-day, el impacto puede ser masivo si una cuenta con permisos suficientes cae, y la ventana de detección-respuesta no es capaz de frenar la exfiltración a tiempo.