¿Te gustaría ser miembro del consejo de Apple? Durante cinco meses bastaba con un solo clic.
Los hackers no tuvieron nada que ver: bastaron la curiosidad y los fallos en el código.
Una vulnerabilidad grave en el sitio del registrador británico de empresas Companies House durante varios meses permitía a terceros acceder a datos no públicos de millones de organizaciones. El problema afectaba no solo a la información personal de los directores, sino que también permitía intervenir en los registros corporativos.
La falla fue detectada el 12 de marzo de 2026. Fue identificada por el investigador John Hewitt de la empresa Ghost Mail, tras lo cual la información llegó rápidamente a las autoridades y a los medios. Más tarde, el director de Companies House, Andy King, confirmó que el problema existió desde octubre de 2025 y afectó a alrededor de cinco millones de empresas.
El mecanismo resultó sorprendentemente simple. Un usuario con su propia cuenta podía acceder al sistema, intentar abrir los datos de otra empresa y, sin tener el código de acceso, simplemente pulsar el botón «atrás». Después de varias de esas acciones, el sistema mostraba el panel de control de otra entidad. A través de él se abría acceso a datos no públicos, incluidos los domicilios particulares, los correos electrónicos y las fechas de nacimiento de los directores.
La comprobación mostró que la vulnerabilidad permitía no solo ver la información, sino también realizar cambios. Se trata de la modificación de direcciones, de los datos de los directores e incluso la presentación de informes en nombre de la empresa. Además, las notificaciones sobre esas acciones podían enviarse no a los propietarios del negocio, sino a los atacantes.
Los especialistas señalan que esos datos se usan con frecuencia para fraudes —desde el robo de identidad hasta ataques de ingeniería social. Son especialmente vulnerables las pequeñas empresas, donde a menudo una sola persona toma las decisiones.
Companies House cerró el sistema de presentación electrónica de datos el 13 de marzo y reanudó el servicio el 16 de marzo tras la comprobación. El organismo declaró que las contraseñas y los documentos de verificación de identidad no se vieron afectados, y que una extracción masiva de datos es poco probable. Sin embargo, la empresa reconoció la posibilidad de visualizar puntualmente los registros de organizaciones concretas.
No está claro si los atacantes llegaron a explotarla. Teniendo en cuenta que el problema existió durante cerca de cinco meses, se considera alta la probabilidad de que terceras partes la descubrieran. Tampoco se sabe si el registrador podrá identificar con precisión todas las empresas afectadas.
El incidente ya fue remitido a la Oficina del Comisionado de Información del Reino Unido y al Centro Nacional de Ciberseguridad. Las empresas recibieron notificaciones con la recomendación de revisar sus datos y el historial de cambios. En caso de detectar actividad sospechosa, se aconseja a las empresas informar de inmediato al regulador.
La situación plantea dudas sobre el cumplimiento de los requisitos del RGPD, especialmente en lo relativo a la notificación a los afectados. Si se determina que compañías concretas sufrieron accesos no autorizados o modificaciones, el registrador está obligado a notificarlo directamente.