La oficina que registra a todas las sociedades del Reino Unido, Companies House, reabrió su servicio de WebFiling después de cerrarlo de urgencia para corregir un fallo de seguridad que, según los informes, permitía acceder a la información interna de millones de empresas. El problema apareció tras una actualización realizada en octubre de 2025 y habría permanecido activo durante varios meses, exponiendo datos sensibles relacionados con la dirección y el contacto de los responsables de las compañías registradas.
El hallazgo llegó a la opinión pública después de que el investigador John Hewitt, conocido por su trabajo con Ghost Mail, informara del fallo y no obtuviera respuesta suficiente, por lo que Dan Neidle, fundador de la organización sin ánimo de lucro Tax Policy Associates, presentara la incidencia ante Companies House. La descripción técnica del defecto es inquietantemente sencilla: iniciando sesión con una cuenta legítima y optando por "presentar en nombre de otra compañía", al introducir un número de empresa y retroceder en el navegador, la sesión podía quedarse “enganchada” a la ficha de otra sociedad. En otros términos, un usuario autenticado podía acabar viendo el panel de administración de otra empresa sin disponer del código de verificación correspondiente.
El alcance estimado del problema es grande: se habla de hasta cinco millones de registros potencialmente afectados durante un periodo de alrededor de cinco meses. Entre los datos que podrían haberse hecho visibles figuran fechas de nacimiento, direcciones residenciales y direcciones de correo asociadas a las empresas. Companies House confirmó que, según sus primeras averiguaciones, no se comprometieron contraseñas ni documentos utilizados en la verificación de identidad (por ejemplo, pasaportes), y que los documentos ya presentados públicamente no podían ser modificados por este fallo. La propia agencia publicó una nota explicando su evaluación inicial y las medidas tomadas: comunicado de Companies House.
La agencia indicó además que la vulnerabilidad solo podía ser explotada por usuarios autenticados y que el método permitía acceder a registros de uno en uno, lo que limita ciertos ataques masivos automatizados pero no elimina por completo el riesgo de abuso sistemático, por ejemplo para recopilar direcciones o elaborar listados para campañas de phishing. Companies House ha notificado el incidente a la Oficina del Comisionado de Información del Reino Unido (ICO) y al Centro Nacional de Seguridad Cibernética (NCSC), y asegura que la investigación sigue en curso.
Más allá de la cronología y las declaraciones oficiales, las consecuencias prácticas que inquietan a empresas y directivos son claras. La exposición de direcciones personales y correos electrónicos incrementa el riesgo de campañas dirigidas de ingeniería social, acoso, robo de identidad y fraudes que suplantan a miembros del consejo o a administradores. La información pública que proporciona transparencia comercial también conlleva una tensión con la privacidad: el registro público busca prevenir delitos financieros y aumentar la transparencia, pero cuando los mecanismos técnicos fallan, esa misma apertura puede convertirse en una vulnerabilidad.
¿Qué pueden hacer las empresas y los directivos ahora? En primer lugar, revisar las notificaciones y el historial de actividad en Companies House para detectar cambios no autorizados. Es prudente activar cualquier mecanismo de alerta que ofrezca el registro, y comprobar correos y llamadas sospechosas que podrían buscar aprovechar datos filtrados. Las personas cuyos domicilios figuren en el registro pueden plantearse solicitar la protección de la dirección residencial cuando la normativa lo permita, y todas las empresas deberían reforzar controles internos: validar notificaciones sobre cambios en el registro mediante canales independientes, comprobar firmas y autorizaciones antes de aceptar modificaciones y, si se detecta actividad anómala, contactar con Companies House y considerar una notificación formal ante la ICO.
Desde el punto de vista técnico y organizativo, el incidente subraya fallos habituales en la gestión de cambios y despliegues: las actualizaciones que introducen regresiones en la lógica de sesiones o en el control de acceso son una fuente recurrente de filtraciones. Auditorías de código, pruebas de regresión, revisiones de control de acceso y programas de divulgación responsable (bug bounty) son medidas que ayudan a detectar fallos antes de que lleguen a producción. Además, los registros públicos con impacto en la privacidad deben equilibrar la disponibilidad con controles estrictos de seguridad y un plan de respuesta claro y transparente cuando algo sale mal.
La situación también plantea una reflexión más amplia sobre la confianza en las infraestructuras públicas digitales. Los registros mercantiles son pilares del ecosistema empresarial: facilitan due diligence, contratación y supervisión. Pero su funcionamiento seguro depende tanto de la calidad del software como de la gobernanza que lo rodea: versiones, pruebas, documentación y procesos de notificación. La comunicación de Companies House y el hecho de que hayan informado a organismos reguladores son pasos necesarios, pero para recuperar la confianza será esencial que las investigaciones determinen si la vulnerabilidad llegó a ser explotada y que se publiquen las lecciones aprendidas y las mejoras implementadas.
Para quienes quieran seguir la evolución oficial del caso conviene consultar las fuentes primarias: la notificación de Companies House en el sitio del gobierno (detalle oficial) y el informe inicial de Tax Policy Associates que documenta el descubrimiento (análisis de Dan Neidle). También es recomendable vigilar las publicaciones y guías de la ICO y del NCSC para recomendaciones y pasos a seguir si se sospecha que se ha sido afectado.
En definitiva, este incidente es un recordatorio para administraciones y empresas: la transparencia pública no puede ser una excusa para descuidar la seguridad. Cuando la infraestructura que soporta información crítica falla, las consecuencias salen del ámbito técnico y afectan a la vida diaria de personas y negocios. La respuesta será medida no solo por las correcciones aplicadas, sino por la claridad, la rapidez en la investigación y las garantías que se ofrezcan para que algo similar no vuelva a ocurrir.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...