El Ministerio de Ciencia, Innovación y Universidades ha cerrado de forma parcial su sede electrónica tras un “incidente técnico” que mantiene inoperativos varios servicios destinados a ciudadanos, universidades e investigadores. En un comunicado publicado en su propia web el departamento explica que se han suspendido los procedimientos administrativos en curso y que se adoptarán medidas para proteger los derechos de las personas afectadas, sin ofrecer por ahora detalles sobre la naturaleza del problema. Puede leerse el aviso oficial en la página del Ministerio: http://www.ciencia.gob.es/en/InfoGeneralPortal/Avisos/cierre_temporal_sede_electronica.html.
Mientras las explicaciones públicas permanecen escuetas, en foros clandestinos de la red ha aparecido una reclamación de responsabilidad atribuida a un actor que firma como “GordonFreeman”, alias tomado del famoso videojuego Half‑Life. Según esa publicación, el atacante habría explotado una vulnerabilidad de tipo IDOR (Insecure Direct Object Reference) que le permitió obtener credenciales con privilegios administrativos y exfiltrar información. El propio material filtrado —muestras de registros personales, direcciones de correo, solicitudes de matrícula y capturas de documentos oficiales— fue mostrado como “prueba” en esos espacios, aunque el foro donde apareció la publicación ya no está accesible y, por el momento, los datos no se han difundido en otras plataformas.
Respecto a la veracidad del material difundido, las imágenes y documentos visibles en la publicación tienen un acabado que parece legítimo, pero los medios y analistas independientes subrayan que esa apariencia no prueba por sí sola la autenticidad total de la intrusión. Medios especializados en ciberseguridad y prensa tecnológica han recogido la noticia y siguen intentando confirmar los hechos con fuentes oficiales y con firmas de inteligencia en seguridad que investigan la aparición del material. Entre las firmas que han monitorizado la publicación de la supuesta filtración se encuentra KELA, mientras que portales de tecnología han informado del caso, aunque sin confirmar todos los extremos.
El cierre temporal de la sede electrónica tiene también efectos administrativos concretos: el Ministerio ha anunciado que se prorrogarán los plazos de los procedimientos afectados en aplicación del artículo 32 de la Ley 39/2015 de Procedimiento Administrativo Común. El texto íntegro de esa norma está disponible en el Boletín Oficial del Estado para quien quiera comprobar cómo se regulan estas prórrogas y otras garantías procedimentales: https://www.boe.es/buscar/act.php?id=BOE-A-2015-10565.
Desde el punto de vista técnico, la referencia a una vulnerabilidad IDOR merece una explicación: se trata de fallos en la validación de parámetros que permiten a un atacante acceder a recursos ajenos simplemente manipulando identificadores en una URL o en peticiones internas. Es un problema clásico de control de acceso que, si se combina con una configuración débil de privilegios, puede derivar en acceso administrativo. Por eso la defensa contra este tipo de amenazas pasa por controles de acceso robustos, validación estricta en el backend, segmentación de privilegios, registros de auditoría y pruebas regulares (pentesting) que permitan encontrar y corregir estas fallas antes de que se exploten.
La posible afectación de la base de datos del Ministerio de Ciencia tiene una dimensión sensible: los sistemas que gestiona ese departamento contienen información personal y académica de investigadores, estudiantes y universidades, así como trámites administrativos que en algún caso pueden incluir datos especialmente protegidos. Si la intrusión queda confirmada, se activarán obligaciones de notificación y mitigación que afectan tanto al propio ministerio como a las personas cuyos datos hayan podido verse comprometidos. En España es competente la Agencia Española de Protección de Datos para supervisar este tipo de incidentes y orientar sobre los pasos a seguir; su web puede consultarse en https://www.aepd.es/.
Las autoridades nacionales en ciberseguridad ofrecen recursos y recomendaciones para incidentes que afectan a servicios públicos. Organismos como el Instituto Nacional de Ciberseguridad (INCIBE) y el Centro Criptológico Nacional (CCN‑CERT) proporcionan guías tanto para la gestión técnica de incidentes como para la protección de usuarios; en sus páginas se encuentran consejos prácticos sobre contramedidas y comunicación en caso de fuga de datos: https://www.incibe.es/ y https://www.ccn-cert.cni.es/.
Mientras se esclarece el alcance real del incidente, conviene mantener la prudencia: las autoridades todavía no han publicado un informe exhaustivo ni han confirmado públicamente todos los detalles que están circulando en la red. Algunos medios españoles han recogido ya declaraciones que vinculan el apagado de la sede electrónica con un ciberataque, pero las investigaciones internas y forenses suelen tardar en producir conclusiones definitivas. Un ejemplo de cobertura informativa lo publicó recientemente un medio nacional: OKDiario, que recoge la versión de fuentes ministeriales.
Para las personas y organizaciones que puedan haber resultado afectadas, las recomendaciones prácticas inmediatas son sencillas y conocidas: revisar comunicaciones oficiales del Ministerio, cambiar contraseñas que pudieran estar relacionadas con servicios públicos, activar la autenticación de múltiples factores donde sea posible y extremar la precaución ante correos o mensajes sospechosos que traten de aprovechar la confusión para realizar fraudes (phishing). Además, las entidades públicas y privadas deben aprovechar este tipo de incidentes para revisar sus inventarios de exposición, políticas de acceso, copias de seguridad y planes de respuesta ante incidentes.
Este suceso se enmarca en una tendencia más amplia: en los últimos años hemos visto cómo ataques dirigidos a empresas energéticas, administraciones públicas y plataformas privadas han derivado en filtraciones y extorsiones que conllevan tanto riesgos reputacionales como costes operativos y sancionadores. Esa dinámica obliga a acelerar la inversión en ciberseguridad en el sector público, combinar controles técnicos con formación y ejercicios y establecer procesos de transparencia y comunicación que permitan proteger a la ciudadanía sin generar alarma innecesaria.
En un caso como este la información oficial y verificada será determinante. Mientras las investigaciones avanzan, lo responsable es seguir las actualizaciones que publique el propio Ministerio de Ciencia y las comunicaciones de los organismos reguladores competentes. Mantendremos seguimiento de la evolución del incidente y de cualquier notificación que confirme el alcance de la intrusión, las medidas adoptadas y las recomendaciones concretas para los afectados.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...