El destacado bufete estadounidense Wiley Rein fue denunciado en una demanda colectiva propuesta que alega que la firma no protegió datos personales sensibles robados por hackers que se cree están afiliados al gobierno chino. 

La denuncia alega que los ciberdelincuentes accedieron a cuentas de correo electrónico Microsoft 365 pertenecientes a ciertos empleados de Wiley Rein entre julio de 2024 y junio de 2025 antes de que la empresa detectara la intrusión el año pasado.

Los datos robados supuestamente incluyen nombres, direcciones, fechas de nacimiento, números de cuenta financiera, información médica y números de Seguridad Social completos o parciales, según la demanda. La empresa no comenzó a notificar a las víctimas hasta alrededor del 6 de marzo de 2026, según la denuncia.

"La brecha de Wiley Rein se diferencia de las típicas filtraciones de datos porque afecta a consumidores que no tenían relación con Wiley Rein, nunca la buscaron y nunca consintieron que Wiley Rein recopilara y almacenara su información", decía la demanda.

Este caso nos recuerda la fragilidad de los sistemas de ciberseguridad, sobre todo, si entregamos nuestros datos sin medidas preventivas a terceros. En un momento donde los ciberataques son tan frecuentes precauciones como el doble factor no son negociables. 

Vamos a exponer una serie de escenarios en los que se hubiese podido evitar el ataque.

Escenario 1: sin doble factor 
El atacante envía un phishing, consigue usuario y contraseña, entra en Microsoft 365 y puede revisar correos. De esta forma, tiene acceso total a toda la información compartida en correos electrónicos.

Escenario 2: con doble factor básico 
Con MFA activado, no bastaría con robar la contraseña. El atacante habría necesitado también superar el segundo factor: código SMS, notificación push, app autenticadora, token físico o similar. 

En la práctica, el ataque probablemente habría cambiado así:

1.    El empleado cae en el phishing y mete la contraseña.
2.    El atacante intenta iniciar sesión.
3.    Microsoft 365 pide el segundo factor.
4.    Si el empleado no aprueba la solicitud, el acceso se bloquea.
5.    El incidente puede quedar reducido a “credenciales robadas” en vez de “buzón comprometido”.

Escenario 3: con MFA resistente al phishing 
El escenario más sólido habría sido usar llaves de seguridad físicas con autenticación de certificados. Sobre todo, en contextos jurídicos con acceso a información sensible. Este método se utiliza en España a través de los certificados digitales para preservar, en todo momento, la seguridad de los datos de los clientes. 

El doble factor no evita que alguien ataque, pero puede evitar una brecha de datos personales.