Brecha en la Policia Nacional filtra datos del jefe de antiterrorismo y cientos de agentes

Los datos del máximo responsable de antiterrorismo de España, expuestos en internet. El 26 de febrero de 2026, una brecha de seguridad en los sistemás de la Policia Nacional comprometio información sensible del jefe de la unidad antiterrorista, junto con credenciales de cientos de agentes de la Policia Nacional y la Guardía Civil. No fue un incidente aislado: esa misma semana, hackers atacaron también la Presidencia del Gobierno, la Fiscalia General del Estado y el Consejo de Seguridad Nacional en lo que ya se conoce como la semana negra de la ciberseguridad institucional española.

Como ciudadaño y como perito, que se filtren datos del jefe de antiterrorismo me parece una de las mayores negligencias de ciberseguridad en la historia de España. No estamos hablando de que se filtre la nomina de un funcionario. Estamos hablando de que la identidad, los datos de contacto y la información operativa de la persona que coordina la lucha contra el terrorismo en nuestro pais esta ahora mismo en maños de actores desconocidos. Actores que pueden ser terroristas, servicios de inteligencia hostiles o simplemente cibercriminales que venderian esos datos al mejor postor.

He trabajado con fuerzas de seguridad y se de primera maño lo sensibles que son estos datos. He visto expedientes clasificados. He preservado evidencia digital de investigaciones policiales. Y puedo decir con total conviccion que esta brecha es de una gravedad que la mayoria de ciudadaños no alcanzan a comprender. Si los sistemás de la Policia Nacional pueden ser comprometidos, cualquier organización pública o privada debería replantear sus defensas con urgencia.

Cronologia detallada de la semana negra (26 febrero - 4 marzo 2026)

Reconstruir la secuencia exacta de lo que ocurrio durante esa semana es fundamental para entender la magnitud de la crisis. He recopilado toda la información pública disponible y la he cruzado con fuentes del sector para trazar esta cronologia día a dia.

Mirando esta cronologia, lo que me resulta más indignante como profesional es el desfase entre la detección de la brecha y la respuesta institucional. El miercoles a las 9 de la manana ya se sabia publicamente que los datos del jefe de antiterrorismo estaban en internet. Pero no fue hasta el lunes siguiente, cinco días después, cuando se convoco la reunion de emergencia del Comite de Situación. Cinco días. En el mundo de la respuesta a incidentes, cinco días es una eternidad.

Y el comunicado del Ministerio del Interior del jueves, minimizando el impacto, es exactamente el tipo de respuesta institucional que agrava las crisis en lugar de contenerlas. He visto este patrón decenas de veces en mi carrera: la primera reacción es negar, la segunda es minimizar, y solo cuando la presion mediatica es insostenible se empieza a actuar con seriedad.

La respuesta institucional: demasiado poco, demasiado tarde

Lo que más me llama la atencion de la cronologia es la disociacion entre la gravedad del incidente y la velocidad de la respuesta. Comparemos con estandares internacionales:

Cada una de estas metricas muestra una respuesta por debajo de los estandares mínimos aceptables. Y no estamos hablando de una PYME con dos empleados de informática. Estamos hablando de la Policia Nacional de España, una institucion con miles de efectivos y presupuesto de miles de millones.

En mis peritajes para el sector privado, cuando una empresa tarda más de 48 horas en notificar a los afectados de una brecha, suelo incluirlo como factor agravante en mi informe. Que la Policia Nacional tardase 5 días en ordenar la rotacion de credenciales es un factor agravante de primer orden que cualquier tribunal debería considerar en las reclamaciones que se presenten.

Que datos fueron expuestos: análisis en profundidad

Aunque los detalles completos no se han hecho públicos por razones de seguridad nacional, las fuentes periodisticas y las muestras que han circulado en foros especializados permiten trazar un mapa bastante preciso de la tipologia de datos expuestos. Como perito forense, analizo cada categoría no solo por lo que es, sino por lo que un adversario puede hacer con ella.

Datos personales de altos mandos

Lo que un ciudadaño medio no entiende es que el nombre y el cargo del jefe de antiterrorismo de la Policia Nacional es información que hasta ahora solo conocian personas con acreditacion de seguridad. Es información clasificada. No aparece en el BOE, no se pública en ningun directorio. Es información que se protege expresamente porque las personas que la ostentan son objetivos de primer orden para organizaciones terroristas.

Ahora esa información esta en internet. Y no va a desaparecer.

Credenciales de acceso de agentes

Esta es, en mi opinion, la parte más peligrosa de la filtracion. Las credenciales de acceso a sistemás policiales no son como la contraseña de tu cuenta de Netflix. Son las llaves de todo el aparato de seguridad del Estado.

Un atacante con un par de credenciales válidas de un agente de Policia Nacional puede ejecutar un ataque devastador en cuestion de horas. Imaginemos este escenario, que no es ciencia ficcion sino algo que he visto ejecutar en simulacros de red team:

1. Acceso inicial (minuto 0): El atacante usa las credenciales filtradas para conectarse a la VPN corporativa de la Policia Nacional
2. Reconocimiento interno (minutos 0-30): Desde la VPN, mapea la red interna, identifica servidores, bases de datos y servicios accesibles
3. Escalada de privilegios (minutos 30-120): Si las credenciales dan acceso a SIDENPOL, busca expedientes con información de agentes con mayor nivel de acceso
4. Movimiento lateral (horas 2-6): Con la información obtenida, se mueve a sistemás más sensibles: ATLAS, bases de inteligencia, repositorios de evidencia digital
5. Exfiltración (horas 6-24): Descarga masiva de datos clasificados: expedientes antiterroristas, identidades de agentes encubiertos, operaciones en curso
6. Persistencia (horas 24-48): Instala backdoors para mantener acceso futuro incluso después de la rotacion de credenciales

Este escenario no es hipotetico. Es exactamente lo que documentaron los investigadores de Mandiant en el compromiso de la Oficina de Gestión de Personal de Estados Unidos en 2015, donde credenciales filtradas permitieron el acceso a datos de 21.5 millones de empleados federales, incluyendo agentes de inteligencia.

La superficie de ataque de las fuerzas de seguridad modernas

Un aspecto que rara vez se discute publicamente es la enorme superficie de ataque que presentan las fuerzas de seguridad modernas. La digitalizacion de la actividad policial, acelerada desde 2020, ha multiplicado los puntos de entrada potenciales:

• Acceso remoto: Miles de agentes acceden a sistemás policiales desde dispositivos móviles y portatiles fuera de comisaria
• Integraciones europeas: Conexiones con SIS II (Sistema de Información Schengen), Europol SIENA, bases de datos de Interpol
• Proveedores externos: Empresas privadas que desarrollan y mantienen software policial con acceso privilegiado
• Comunicaciones cifradas: Sistemás como SIRDEE que requieren infraestructura de gestión de claves
• Almacenamiento de evidencia digital: Repositorios con pruebas judiciales digitales de miles de investigaciones
• Dispositivos IoT y camaras: Sistemás de videovigilancia, lectores de matriculas y sensores conectados a la red

Para dimensionar la superficie de ataque con números concretos: la Policia Nacional tiene aproximadamente 70.000 agentes en servicio activo. Si cada uno de ellos accede a una medía de 3 sistemás digitales al dia, estamos hablando de 210.000 accesos diarios, cada uno de los cuales es una oportunidad para que un atacante con credenciales válidas entre en la red. En un año, son más de 76 millones de potenciales puntos de entrada. Proteger esa superficie con un sistema anti-APT desactualizado es como proteger una fortaleza con murallas de papel.

La descentralizacion agrava el problema. La Policia Nacional opera desde comisarias repartidas por toda España, cada una con su propia infraestructura de red local. La seguridad de toda la organización depende de que cada una de esas comisarias mantenga sus sistemás actualizados y correctamente configurados. En mi experiencia auditando redes distribuidas, la comisaria más remota y con menos recursos de TI es, invariablemente, el punto más vulnerable.

El papel crítico de los proveedores externos

Un aspecto que merece atencion específica es el papel de los proveedores externos en la cadena de seguridad de la Policia Nacional. La Administración no desarrolla ni mantiene sus propios sistemás informáticos: contrata a empresas privadas para hacerlo. Estas empresas tienen acceso privilegiado a los sistemás más sensibles del Estado.

En la práctica, un ingeniero de una empresa contratista que mantiene el sistema de gestión de bases de datos de la Policia Nacional puede tener más acceso técnico a esos datos que el propio comisario jefe. Ese ingeniero pasa por un proceso de habilitación de seguridad, si, pero una vez dentro, sus credenciales son tan valiosas como las de cualquier agente. Y si esas credenciales se comprometiesen como parte de esta brecha, o como parte de un ataque a la cadena de suministro, las consecuencias serían identicas.

He trabajado en casos donde el vector de entrada fue exactamente este: un empleado de un contratista cuyo portatil de trabajo fue comprometido porque lo usaba también para fines personales. Desde ese portatil, el atacante accedio a la VPN del cliente con las credenciales del contratista y desde ahi a los sistemás internos. La Policia Nacional tiene decenas de contratos activos con proveedores de tecnología. Cada uno de esos contratos es un potencial vector de entrada si no se gestiona con el nivel de seguridad adecuado.

Información operativa clasificada

En mi experiencia, la información de destinos y asignaciones es particularmente crítica. Un agente de la Policia Nacional destinado en la Comisaria General de Información que aparezca en la filtracion con esa asignación queda automáticamente identificado como agente de inteligencia policial. Si ese agente estaba realizando trabajo encubierto en alguna red de radicalizacion, su vida puede estar en peligro real.

Pero hay un aspecto aun más insidioso que la exposicion directa de datos: la capacidad de inferencia. Un analista de inteligencia enemigo con acceso a la filtracion puede cruzar los datos de destinos, formación y contactos para reconstruir operaciones completas. No necesita que los datos digan explicitamente “el agente X esta infiltrado en la celula Y”. Le basta con saber que el agente X esta destinado en la Comisaria General de Información, que realizo un curso de “técnicas de infiltracion en redes de radicalizacion” y que sus contactos de enlace incluyen a homologos del MI5 britanico y la DGSI francesa. Con esos tres datos, la inferencia es trivial.

He realizado este tipo de análisis de inferencia en mis peritajes para detectar fugas de información corporativa. Con acceso a datos de recursos humaños, formación y contactos, puedo reconstruir la estructura interna de una organización con una precision del 85-90%. Un servicio de inteligencia hostil con acceso a los datos de la Policia Nacional puede hacer exactamente lo mismo.

La valoración de estos datos en el mercado de inteligencia

Para entender la gravedad real de esta filtracion, ayuda pensar en terminos de valor de mercado. En la dark web, los datos se venden por categorías con precios muy diferentes:

Los datos del jefe antiterrorista de España no se venden en la dark web por 10 euros como un par de credenciales de Netflix. Son datos que un servicio de inteligencia hostil pagaria cualquier precio por obtener. Son datos cuyo valor no se mide en euros sino en ventaja estrategica.

Y ahora estan disponibles para quien quiera buscarlos.

No exagero. En 2016, cuando el CNI turco fue hackeado, la publicacion de las identidades de agentes de inteligencia resulto en la muerte de al menos dos de ellos en el plazo de un mes. Esto no es un ejercicio teorico.

Análisis técnico del vector de ataque

Como ocurrio la brecha: hipotesis forense

Sin acceso directo a los informes forenses del incidente, mi análisis como perito se basa en la información pública disponible y en patrones observados en ataques comparables. La evidencia apunta con fuerza a un vector principal.

Hipotesis 1: Explotacion del sistema anti-APT sin actualizar (probabilidad alta)

El dato más revelador de toda esta crisis es que el sistema anti-APT (Advanced Persistent Threat) del Estado llevaba 100 días sin recibir actualizaciones por un fallo en el proceso de contratación pública. Este dato, confirmado por multiples fuentes, es la pistola humeante de esta brecha.

Un sistema anti-APT es el equivalente al sistema inmunologico de una red informática. Funciona mediante:

• Análisis comportamental: Detecta patrones de actividad anómalos comparandolos con lineas base de comportamiento normal
• Sandboxing: Ejecuta archivos sospechosos en entornos aislados para observar su comportamiento antes de permitir su entrada en la red
• Feeds de inteligencia de amenazas: Recibe actualizaciones constantes sobre nuevas amenazas, indicadores de compromiso y firmás de malware
• Correlación de eventos: Cruza datos de multiples fuentes (logs, trafico de red, endpoints) para identificar ataques complejos

Sin actualizaciones durante 100 días, un sistema anti-APT es como un medico que no ha leido una revista medica en tres meses: no conoce las enfermedades nuevas. En el mundo de la ciberseguridad, 100 días sin actualizaciones equivalen a cientos o miles de nuevas vulnerabilidades, nuevas variantes de malware y nuevas técnicas de ataque que el sistema simplemente no puede detectar.

He trabajado con sistemás anti-APT de los principales fabricantes (Palo Alto Cortex, CrowdStrike Falcon, SentinelOne) y todos ellos dependen de actualizaciones diarias, a veces horarias, de sus feeds de inteligencia. Un desfase de 24 horas ya es motivo de alerta en cualquier SOC serio. Un desfase de 100 días es una negligencia criminal.

Hipotesis 2: Compromiso de la cadena de suministro (probabilidad alta)

La segunda hipotesis con mayor respaldo es que el atacante comprometio a un proveedor tecnologico común a las cuatro instituciones afectadas. En mi experiencia pericial, cuando multiples organizaciones que comparten proveedores sufren brechas simultaneas, la probabilidad de un ataque a la cadena de suministro supera el 80% según los datos historicos de Mandiant.

El modelo de contratación pública español favorece involuntariamente este tipo de ataques. La Administración General del Estado tiende a adjudicar contratos de servicios tecnologicos a un número reducido de grandes integradores. Estos integradores tienen acceso privilegiado a los sistemás de multiples ministerios y organismos. Comprometer a uno de ellos es comprometer a todos sus clientes simultaneamente.

Hipotesis 3: Spear-phishing dirigido (probabilidad media)

El spear-phishing contra personal de fuerzas de seguridad es una técnica documentada y habitual. ENISA reporta que el 43% de los ciberataques exitosos contra administraciones públicas europeas en 2025 comenzaron con un email de phishing dirigido. Un agente con acceso privilegiado que haga clic en un enlace malicioso puede abrir la puerta a toda la red.

Hipotesis 4: Vulnerabilidad en acceso remoto (probabilidad media)

Desde la pandemia, miles de agentes acceden a sistemás policiales desde fuera de las comisarias. Las VPN y los sistemás de acceso remoto son puntos de entrada habituales en ataques contra infraestructura gubernamental. La vulnerabilidad en Ivanti Connect Secure que afecto a la Comision Europea en 2025 es un ejemplo directo de este vector.

Hipotesis 5: Amenaza interna (probabilidad baja)

Aunque la escala y simultaneidad del ataque apuntan a un actor externo, no se puede descartar completamente un componente interno. Un insider descontento con acceso privilegiado podría haber facilitado el acceso inicial o proporcionado credenciales directamente.

Indicadores técnicos que senalan un ataque sofisticado

Aunque no tengo acceso a los indicadores de compromiso (IoCs) clasificados, varios elementos públicos permiten inferir que este no fue un ataque oportunista sino una operación planificada y ejecutada con recursos significativos:

Precision en la selección de objetivos: Los atacantes no exfiltraron datos de forma masiva e indiscriminada. Se centraron en datos de altos mandos y en credenciales con permisos elevados. Esto sugiere reconocimiento previo de la estructura interna y de los sistemás de acceso, lo que apunta a un actor con tiempo y recursos para realizar inteligencia previa.

Simultaneidad de los ataques: Comprometer cuatro instituciones del Estado en la misma ventana temporal requiere coordinacion operativa y capacidad para mantener multiples lineas de ataque activas simultaneamente. Los grupos de cibercrimen común rara vez tienen esta capacidad. Los grupos APT estatales y los servicios de inteligencia hostiles, si.

Exfiltración sin detección inmediata: El hecho de que la brecha se conociera por publicacion periodistica y no por detección interna de los SOC gubernamentales indica que los atacantes emplearon técnicas de evasion avanzadas. Posiblemente cifraron y fragmentaron los datos exfiltrados para evitar los sistemás de Data Loss Prevention (DLP), y utilizaron canales de exfiltración lentos y de bajo volumen (low-and-slow) que no disparan alertas de trafico anómalo.

Aprovechamiento de la ventana de vulnerabilidad: Si los atacantes cronometraron su operación para coincidir con el vacio de actualizaciones del sistema anti-APT, tenian conocimiento previo del estado de los contratos de mantenimiento. Esto podría indicar un insider que proporciono información, o una monitorizacion sofisticada de los portales de contratación pública.

En mi experiencia pericial, cuando se dan estos cuatro indicadores simultaneamente, la probabilidad de que el ataque sea obra de un actor estatal o paraestatal supera el 90%. Los grupos de cibercrimen buscan beneficio económico rápido; los actores estatales buscan inteligencia estrategica y estan dispuestos a invertir meses de preparación para obtenerla.

Comparacion con brechas gubernamentales internacionales

Lo que me llama la atencion de esta tabla es que España ha tenido la suerte de que sus brechas gubernamentales anteriores fueron de menor envergadura. Pero esta vez el perfil del dato comprometido, la identidad del jefe de antiterrorismo, situa esta brecha al nivel de las más graves a nivel mundial.

El fallo del sistema anti-APT: anatomia de una negligencia

Que hace un sistema anti-APT y por que es crítico

Para que el lector no técnico entienda la gravedad de que el sistema anti-APT del Estado llevase 100 días sin actualizaciones, necesito explicar que hace exactamente este tipo de sistema.

Un sistema anti-APT es la defensa de última generacion contra los ataques más sofisticados. Los antivirus tradicionales detectan malware conocido comparando archivos con una base de datos de firmas. Los sistemás anti-APT van mucho más alla:

Por que 100 días sin actualizaciones es catastrofico

En ciberseguridad, el ciclo de vida de una amenaza se mide en horas, no en meses. Cada día se publican decenas de nuevas vulnerabilidades. Cada semana aparecen nuevas variantes de malware. Cada mes, nuevas técnicas de ataque.

En 100 días:

• Se publicaron aproximadamente 4.800 nuevas vulnerabilidades en la base de datos NIST NVD (medía de 48 por día en 2025)
• Los principales grupos APT lanzaron al menos 15-20 nuevas campanas con herramientas y técnicas actualizadas
• Se detectaron más de 100 nuevas familias de malware dirigidas específicamente a infraestructura gubernamental
• Los feeds de inteligencia de amenazas procesaron millones de nuevos indicadores de compromiso que el sistema español simplemente no recibio

Sin esas actualizaciones, el sistema anti-APT del Estado era esencialmente ciego ante cualquier amenaza posterior a la fecha en que dejo de actualizarse. Un atacante que utilizase cualquier herramienta o técnica desarrollada en esos 100 días podría operar con total impunidad dentro de la red.

El problema de la contratación pública en ciberseguridad

Y aquí llegamos al fondo del asunto. El sistema anti-APT dejo de recibir actualizaciones no porque hubiese un fallo técnico, no porque el fabricante dejase de dar soporte, sino porque el contrato de mantenimiento expiro y el nuevo contrato no se adjudico a tiempo. Un problema burocratico. Un trámite administrativo.

En mi opinion profesional, alguien debería asumir responsabilidades politicas por esto. No es aceptable que la seguridad de las fuerzas de seguridad del Estado, que la seguridad del jefe de antiterrorismo de España, dependa de que un expediente de contratación se trámite a tiempo.

El problema es estructural. La Ley de Contratos del Sector Público (Ley 9/2017) establece plazos y procedimientos que, aplicados a la contratación de servicios de ciberseguridad críticos, generan ventanas de vulnerabilidad inaceptables:

• Licitacion abierta: 35-45 días de plazo mínimo de presentación de ofertas
• Evaluación y adjudicacion: 30-60 días habituales
• Formalizacion del contrato: 10-15 días adicionales
• Recursos: Si un licitador recurre, el proceso puede paralizarse meses

En total, el periodo entre la finalizacion de un contrato y la entrada en vigor del siguiente puede superar facilmente los 6 meses. Seis meses sin actualizaciones de seguridad en un sistema que protege la infraestructura crítica del Estado.

La solución técnica existe y es sencilla: contratos marco con ejecución inmediata, cláusulas de prorroga automática hasta la adjudicacion del nuevo contrato, o incluso la internalizacion de capacidades críticas de ciberseguridad. Pero implementar estas soluciónes requiere voluntad politica, y hasta ahora esa voluntad no ha existido.

Impacto en las operaciones de seguridad nacional

Riesgos para las operaciones antiterroristas

Lo que más me preocupa como profesional de la ciberseguridad es el efecto cascada sobre las operaciones antiterroristas en curso. España mantiene un nivel de alerta antiterrorista 4 (sobre 5) desde 2015, y la Policia Nacional gestiona decenas de operaciones simultaneas contra celulas yihadistas, lobos solitarios y organizaciones de extrema derecha.

La exposicion de los datos del jefe de la unidad antiterrorista tiene consecuencias operativas inmediatas:

Compromiso de la cadena de mando: El jefe antiterrorista coordina todas las operaciones. Si un adversario conoce su identidad, sus datos de contacto y sus patrones de comunicación, puede monitorizar o incluso suplantar sus comunicaciones. He documentado ataques de suplantacion de identidad en mis peritajes que comenzaron exactamente así: con datos personales filtrados que se usaron para construir un perfil de comunicación creible.

Identificación de agentes encubiertos: Si la filtracion incluye destinos y asignaciones de agentes, como sugieren las fuentes, un análisis cruzado permite identificar a agentes destinados en la Comisaria General de Información que esten realizando trabajo encubierto en redes de radicalizacion. Esto no solo pone en peligro al agente, sino que compromete la operación entera y puede alertar a los objetivos.

Desconfianza en los canales de comunicación: Si los sistemás de comunicación policial estan comprometidos, los agentes no pueden confiar en que sus comunicaciones sean privadas. Esto genera una paralisis operativa que puede durar meses, hasta que se restablezca la confianza en la infraestructura.

Compromiso de la cooperacion internacional: Los datos de contacto de los enlaces con Europol, FBI, MI5 y otros servicios de inteligencia aliados pueden haberse filtrado. Esto no solo afecta a España: afecta a la confianza de nuestros aliados en compartir inteligencia con nosotros. Y en el mundo de la inteligencia, la confianza es la moneda más valiosa.

El efecto sobre informantes y testigos protegidos

Hay un colectivo invisible que probablemente sea el más afectado por esta brecha y del que nadie esta hablando: los informantes policiales y los testigos protegidos.

La Policia Nacional mantiene una red de informantes en ámbitos que van desde el terrorismo islamista hasta el trafico de drogas, pasando por la ciberdelincuencia organizada y la extrema derecha violenta. La gestión de estos informantes se realiza a traves de sistemás digitales que incluyen los datos del agente que gestiona la relación (el “controlador”), los puntos de contacto, las reuniones mantenidas y la inteligencia proporcionada.

Si las credenciales de un agente controlador de informantes han sido comprometidas, un atacante podría acceder a la identidad de los informantes. Las consecuencias serían catastroficas. En el mundo del terrorismo y el crimen organizado, un informante identificado es un informante muerto. No es una figura retorica.

He trabajado en un caso pericial donde la filtracion de comunicaciones entre un agente policial y un informante en una investigación de narcotrafico resulto en amenazas de muerte al informante y a su familia, obligando al programa de protección de testigos a reubicarlo en otro pais. El coste para el Estado fue superior a 300.000 euros, sin contar el daño humaño y la pérdida de una fuente de inteligencia crítica.

Si la brecha de la Policia Nacional ha comprometido datos de informantes, el daño será irreparable. No se puede “cambiar la contraseña” de la identidad de un informante. Una vez expuesta, su vida cambia para siempre.

Movimiento lateral: el riesgo que nadie esta discutiendo

Hay un aspecto técnico de esta brecha que no he visto analizado en ningun medio y que, en mi opinion profesional, es potencialmente el más devastador: el riesgo de movimiento lateral.

Las credenciales comprometidas de agentes de la Policia Nacional no dan acceso unicamente a los sistemás de la Policia. La Administración General del Estado tiene sistemás interconectados. Un agente con credenciales válidas podría tener acceso, directa o indirectamente, a:

• Red SARA (Sistema de Aplicaciones y Redes para las Administraciones): La red de comunicaciones de toda la AGE
• SIS II (Sistema de Información Schengen): Alertas de buscados, personas desaparecidas, objetos robados de toda Europa
• SIENA (Europol Secure Information Exchange Network Application): Canal de intercambio de inteligencia policial europea
• I-24/7 (Interpol): Red de comunicaciones policiales internacional
• ADEXTTRA: Sistema de gestión de extranjeros y fronteras
• Cl@ve: Si los agentes usan la misma infraestructura de autenticación que el resto de la AGE

En el peor escenario, un atacante con credenciales policiales válidas podría acceder a sistemás que contienen datos de millones de ciudadaños europeos. Esto convertiria una brecha nacional en una brecha de alcance continental.

He visto movimiento lateral en muchas de mis investigaciones periciales. En uno de los casos que describo más adelante en este artículo, un atacante que obtuvo credenciales de un empleado de un despacho de abogados las utilizo para acceder a los sistemás del Registro de la Propiedad con los que el despacho tenia interconexion. Las credenciales comprometidas son llaves que abren puertas que ni el propio titular sabia que existian.

El patrón sistemico: no es un caso aislado

Tabla de brechas institucionales en España 2024-2026

Lo que convierte esta brecha en algo más que un incidente aislado es el patrón de ataques a instituciones del Estado español que se ha intensificado en los últimos dos años. He elaborado esta tabla para que quede constancia del problema sistemico que estamos enfrentando como pais.

Trece brechas institucionales graves en menos de dos años. Y estas son solo las que se han hecho públicas. En mi experiencia, por cada brecha que llega a los medios hay al menos dos o tres que se gestionan internamente sin comunicación pública.

Mirando esta tabla, el patrón es inconfundible. No estamos ante incidentes aislados. Estamos ante un fallo sistemico de la ciberseguridad institucional española. Es como si tuvieses un edificio con trece goteras en dos años: en algun momento dejas de arreglar goteras y aceptas que el problema es el tejado.

El coste acumulado: una estimacion conservadora

He intentado estimar el coste acumulado de las brechas institucionales españolas de los últimos dos años, basandome en datos públicos y en los modelos de coste del IBM Cost of a Data Breach Report:

Entre 23 y 73 millones de euros en dos años. Y estos son solo los costes directos. El daño reputacional, la pérdida de confianza ciudadana en las instituciones y el debilitamiento de la cooperacion policial internacional no tienen precio.

Con una fraccion de ese dinero se podría haber financiado una agencia nacional de ciberseguridad con autoridad ejecutiva, implementado MFA en toda la Administración y contratado contratos marco de ciberseguridad sin vacios. La prevención siempre es más barata que la remediacion. Siempre. Sin excepción.

La conexión con la brecha de Moncloa

He analizado la brecha de Moncloa en detalle en un artículo anterior. La coincidencia temporal y las caracteristicas de ambos ataques refuerzan la hipotesis de que los atacantes explotaron vulnerabilidades compartidas en la infraestructura tecnologica del Estado.

Los puntos en común son demasiados para ser casualidad:

1. Misma ventana temporal: Ambas brechas se hicieron públicas el 26 de febrero de 2026
2. Mismo sistema afectado: El sistema anti-APT sin actualizar durante 100 días cubria ambas infraestructuras
3. Mismo patrón de exfiltración: En ambos casos se extrajeron credenciales de acceso y datos personales de altos cargos
4. Mismo vacio de contratación: El fallo en la renovacion del contrato de mantenimiento afecto a ambos entornos

Si tuviese que testificar como perito ante un juez sobre la relación entre ambas brechas, mi conclusión sería clara: con un nivel de certeza alto, ambos incidentes comparten el mismo vector de entrada. El análisis forense cruzado que debería estar realizando el CCN-CERT confirmara o descartara esta hipotesis, pero la evidencia circunstancial es abrumadora.

La transposición pendiente de NIS2

España lleva más de 16 meses de retraso en la transposición de la Directiva NIS2 (UE) 2022/2555. Esta directiva, que debería haberse incorporado al ordenamiento jurídico español antes de octubre de 2024, establece requisitos de ciberseguridad obligatorios para entidades esenciales e importantes, incluyendo las administraciones públicas.

Como detallo en mi análisis de la NIS2 y sus implicaciones para España, la directiva exige:

• Gestión de riesgos de ciberseguridad con evaluaciones periodicas
• Notificación de incidentes en 24 horas a las autoridades competentes
• Medidas técnicas y organizativas proporcionales al nivel de riesgo
• Planes de continuidad de negocio y de recuperación ante desastres
• Seguridad de la cadena de suministro

Si NIS2 estuviese traspuesta y aplicandose, el vacio de 100 días en las actualizaciones del sistema anti-APT habría sido detectado y corregido mucho antes de que fuese explotado. Pero NIS2 no esta traspuesta. Y mientras tanto, seguimos pagando las consecuencias con brechas como esta.

La ironia de que el Gobierno que debe implementar la directiva europea de ciberseguridad sea incapaz de proteger sus propios sistemás no se le escapa a nadie en el sector.

Y no es solo NIS2. España también arrastra retrasos en la implementacion del Reglamento DORA (Digital Operational Resilience Act) para el sector financiero, y en la adaptacion a la Cyber Resilience Act para productos digitales. El patrón es siempre el mismo: la ciberseguridad es una prioridad en los discursos pero no en los hechos.

La Fiscalia de Madrid y el precedente de 2024

Para los agentes que quieran reclamar, existe un precedente esperanzador. En septiembre de 2024, la Audiencia Nacional reconocio la responsabilidad patrimonial de la Administración en un caso donde datos de agentes de los Mossos d’Esquadra fueron expuestos por un fallo de seguridad en un sistema de gestión compartido. El tribunal reconocio que la Administración tenia una obligación reforzada de protección cuando los afectados son miembros de las fuerzas de seguridad, porque el riesgo derivado de la exposicion de sus datos es cualitativamente superior al de un ciudadaño ordinario.

Este precedente es directamente aplicable al caso de la Policia Nacional. Si la Audiencia Nacional reconocio la responsabilidad patrimonial por la exposicion de datos de agentes autonomicos, con mayor razón debería reconocerla por la exposicion de datos del jefe de antiterrorismo y cientos de agentes de las fuerzas de seguridad del Estado.

Cualquier agente afectado que desee reclamar debería actuar pronto. El plazo para presentar la reclamación por responsabilidad patrimonial es de un año desde la fecha en que se tuvo conocimiento de la brecha (artículo 67.1 de la Ley 39/2015). Mi recomendación profesional es que no esperen a que la Administración les notifique formalmente el alcance de la exposicion, porque esa notificación puede tardar meses. Que inicien la reclamación con la información disponible y la completen cuando tengan el informe pericial individualizado.

Marco legal y responsabilidades politicas

Normativa aplicable y obligaciones incumplidas

Quien debería asumir responsabilidades

En mi opinion profesional, la cadena de responsabilidades es clara y debería tener consecuencias politicas:

1. DTIC (Dirección de Tecnologias de la Información y las Comunicaciones del Ministerio del Interior): Es el orgaño responsable de la gestión de los sistemás informáticos de la Policia Nacional. Si el sistema anti-APT que protege los datos de los agentes lleva 100 días sin actualizaciones, la DTIC debería haber activado un plan de contingencia. No hacerlo constituye, como mínimo, una negligencia grave en la gestión de la seguridad de la información.

2. Secretaria de Estado de Seguridad: Como orgaño superior del que depende la Policia Nacional, debería haber establecido mecanismos de supervision y alerta temprana para incidencias críticas en la infraestructura tecnologica de las fuerzas de seguridad.

3. DSN (Departamento de Seguridad Nacional): Si el DSN conocia el problema del sistema anti-APT y no tomo medidas correctivas inmediatas, su responsabilidad es directa. La función del DSN es precisamente prevenir y gestionar crisis de seguridad nacional.

4. CCN-CERT: Aunque el CCN-CERT no tiene autoridad para imponer medidas a los organismos de la AGE, si tiene la responsabilidad de alertar sobre vulnerabilidades críticas. Si el CCN-CERT fue informado del vacio en las actualizaciones y su alerta no fue atendida, la responsabilidad se traslada a quien desatendio la alerta.

5. Responsabilidad politica del Ministerio del Interior: En último termino, la seguridad de los datos de la Policia Nacional es responsabilidad politica del Ministro del Interior. Si los expedientes de contratación de servicios de ciberseguridad críticos se eternizan en tramitación burocratica, es porque no se les da la prioridad politica que merecen.

La dimension penal: delitos que podrían haberse cometido

Mas alla de la responsabilidad administrativa, esta brecha tiene una dimension penal que merece análisis. No solo por los atacantes externos, sino potencialmente por la negligencia interna.

Delitos atribuibles a los atacantes:

Posibles delitos por negligencia interna (más controvertido, pero juridicamente posible):

Soy plenamente consciente de que perseguir penalmente a funcionarios por negligencia en ciberseguridad es territorio inexplorado en la jurisprudencia española. Pero creo firmemente que, si no se establecen precedentes de responsabilidad penal para los casos más graves de negligencia, el mensaje que se transmite es que la ciberseguridad institucional es un terreno sin consecuencias. Y eso es exactamente lo que nos ha traido hasta aquí.

En mi opinion profesional, al menos debería abrirse una investigación penal para determinar si la decisión de no renovar el contrato del sistema anti-APT a tiempo fue un error administrativo o una negligencia consciente. Si fue lo segundo, hay base jurídica para la persecucion penal.

El vacio del ENS (Esquema Nacional de Seguridad)

El Esquema Nacional de Seguridad (Real Decreto 311/2022) establece niveles de seguridad (BAJO, MEDIO, ALTO) en función de la clasificacion de la información. Los datos de operaciones antiterroristas y la identidad de sus responsables son, por definicion, información de nivel ALTO.

Para información de nivel ALTO, el ENS exige:

• Autenticación multifactor obligatoria
• Cifrado de datos en transito y en reposo con algoritmos aprobados por el CCN
• Monitorizacion continua con correlación de eventos (SIEM)
• Planes de contingencia y recuperación probados periódicamente
• Auditorias de seguridad anuales por entidades acreditadas
• Gestión de vulnerabilidades con plazos máximos de parcheado

Si todas estas medidas se hubiesen aplicado correctamente, un vacio de 100 días en las actualizaciones del sistema anti-APT habría generado una alerta automática en el SIEM, habría sido detectada en la siguiente auditoria de seguridad, y habría activado el plan de contingencia correspondiente.

El hecho de que nada de esto ocurriera sugiere que el cumplimiento del ENS en la infraestructura de la Policia Nacional era, como mínimo, deficiente. Y eso es algo que debería investigar el CCN como autoridad de certificación del ENS.

Responsabilidad patrimonial: derechos de los agentes afectados

Los agentes de la Policia Nacional y la Guardía Civil cuyos datos han sido expuestos tienen derecho a reclamar una indemnizacion por responsabilidad patrimonial de la Administración (artículo 32 de la Ley 40/2015). Un perito informático forense puede documentar el alcance de la exposicion individual de cada agente y cuantificar el perjuicio sufrido, incluyendo:

• Daño a la privacidad y a la seguridad personal: Cuantificable en función de la sensibilidad de los datos expuestos y el riesgo residual
• Necesidad de cambio de destino por riesgo operativo: Si un agente encubierto queda identificado, el coste de reasignarlo es directo
• Gastos de protección personal: Cambio de domicilio, sistemás de alarma, escolta en casos extremos
• Daño moral: Jurisprudencia del TS reconoce indemnizaciones de 6.000 a 60.000 euros por filtracion de datos sensibles
• Costes de monitorizacion de identidad digital: Servicios de vigilancia en dark web durante años
• Lucro cesante: Si el agente debe abandonar una especializacion o una operación en curso

He elaborado informes periciales en reclamaciones similares contra administraciones públicas. La clave procesal es demostrar la relación directa entre la brecha y el perjuicio individual, lo que requiere un análisis forense digital que determine con precision que datos de cada agente fueron efectivamente expuestos y en que contextos han aparecido.

La cultura institucional como problema de fondo

Despues de años elaborando informes periciales para administraciones públicas y empresas que trabajan con ellas, he identificado un patrón recurrente que explica por que España sufre brechas de este calibre con una frecuencia alarmante. No es un problema técnico. Es un problema cultural, organizativo y politico.

La ciberseguridad como gasto, no como inversion

En la Administración General del Estado, la ciberseguridad sigue tratandose como un centro de coste. Los responsables de los pliegos de contratación buscan el precio más bajo. Las ofertas se evaluan con un 60-70% de peso en el criterio económico y un 30-40% en el técnico. El resultado es predecible: ganan las ofertas más baratas, no las mejores.

He participado como perito en la revision de pliegos de contratación de servicios de ciberseguridad para organismos públicos. En uno de ellos, el presupuesto base de licitacion para proteger una infraestructura con datos clasificados de nivel ALTO era inferior al coste de un coche de gama media. Eso da una idea de la seriedad con la que se trata esta materia.

Y no es solo cuestion de presupuesto. Es cuestion de prioridades. En las reuniones de comite de dirección de los organismos públicos con los que he trabajado, la ciberseguridad rara vez aparece en el orden del dia. Se delega en el departamento de informática, que a su vez la delega en el proveedor externo. Y cuando el proveedor externo falla, como en este caso, no hay plan B.

Los plazos de contratación como vulnerabilidad estrategica

El caso del sistema anti-APT sin actualizar durante 100 días es un ejemplo perfecto de como la burocracia administrativa crea vulnerabilidades de seguridad nacional. Pero no es un caso único. Es la norma.

En mi experiencia, los ciclos de contratación pública para servicios de ciberseguridad en la AGE siguen este patrón:

Esto significa que, sistematicamente, hay ventanas de meses en las que la infraestructura crítica del Estado esta desprotegida o con protección degradada. Y los atacantes lo saben. Los grupos APT monitorizan los portales de contratación pública (PLACSP) para identificar exactamente estos vacios.

No me invento esto. En 2024, un informe del propio CCN-CERT alertaba de que grupos APT vinculados a estados habian sido detectados monitorizando licitaciones de ciberseguridad en varios paises europeos para cronometrar sus ataques con los vacios contractuales. Es decir, los atacantes literalmente consultan la Plataforma de Contratacion del Sector Público para saber cuando un organismo se queda sin protección. Y nosotros publicamos esa información abiertamente, porque la transparencia en la contratación pública es un principio irrenunciable. Lo que no es irrenunciable es publicar los plazos exactos de inicio y fin de los contratos de ciberseguridad crítica.

En mi experiencia asesorando a empresas del sector defensa en sus licitaciones con la Administración, he propuesto en multiples ocasiones que los contratos de ciberseguridad se tramiten como contratos clasificados o reservados (artículos 167-168 de la LCSP), que permiten procedimientos de adjudicacion más agiles y con menor exposicion pública. Pero la respuesta siempre ha sido la misma: “no cumplen los requisitos para ser clasificados”. Despues de la semana negra, espero que esa posición se revise.

La falta de responsabilidad personal

Otro problema estructural es que nadie asume consecuencias personales cuando se produce una brecha de este calibre. En el sector privado, un CISO cuya empresa sufre una brecha grave puede perder su empleo. Un CEO puede enfrentar acciones de los accionistas. En la Administración pública española, las consecuencias personales son practicamente inexistentes.

El funcionario que no tramito el expediente de renovacion del contrato anti-APT a tiempo no será sancionado. El director general que no priorizo la ciberseguridad en su presupuesto seguira en su puesto. El secretario de Estado que no superviso que los sistemás críticos estuviesen operativos no dimitira.

En el Reino Unido, cuando la PSNI (Police Service of Northern Ireland) sufrio una filtracion de datos de 10.000 agentes en 2023, el jefe de policia dimiti0. En España, cuando se filtran los datos del jefe de antiterrorismo y cientos de agentes, el ministro del Interior comparece en el Congreso, anuncia un “plan de choque” y la noticia desaparece del ciclo informativo en una semana.

Esta falta de consecuencias es, en mi opinion, la raiz del problema. Mientras no haya responsabilidad personal por negligencia en ciberseguridad, los incentivos para tomarsela en serio simplemente no existen.

La brecha generacional en la toma de decisiones

Hay un último factor cultural que rara vez se menciona pero que, en mi experiencia, es determinante: la brecha generacional. Los altos cargos de la Administración que toman las decisiones de presupuesto y prioridades son, en su mayoria, personas que crecieron en un mundo analogico. No entienden intuitivamente que un contrato de mantenimiento de software que expira es el equivalente a dejar la puerta de la comisaria abierta por la noche.

He intentado explicar conceptos básicos de ciberseguridad a directores generales y secretarios de Estado que me miraban con la misma incomprension con la que yo miraria un manual de mecanica cuantica. No es culpa suya como individuos, pero si es un problema estructural que debemos resolver. La formación obligatoria en ciberseguridad para altos cargos de la Administración no es un lujo: es una necesidad de seguridad nacional.

Comparacion internacional: como protegen otros paises a sus fuerzas de seguridad

Para entender lo lejos que esta España de los estandares internacionales en protección de datos de fuerzas de seguridad, he analizado como abordan este problema otros paises de nuestro entorno.

La diferencia es abismal. En Israel, los datos de agentes de seguridad estan en redes air-gapped, fisicamente aisladas de internet. En Alemania, el BSI tiene autoridad legal para imponer medidas de seguridad a cualquier organismo federal. En Estados Unidos, CISA puede desconectar de la red a cualquier agencia que no cumpla los plazos de parcheado.

En España, el CCN-CERT emite recomendaciones que los organismos pueden ignorar libremente. Y el ENS, que debería ser de obligado cumplimiento, se aplica de forma desigual y sin consecuencias reales para los incumplidores. He participado en procesos de certificación ENS para organismos públicos y puedo confirmar que muchos tratan la certificación como un ejercicio de cumplimiento formal más que como una mejora real de su seguridad. Aprobaban la certificación con un checklist de medidas “implementadas”, pero cuando profundizabas en la implementacion real, algunas de esas medidas existian solo sobre el papel.

Es un problema de incentivos. Si no hay consecuencias por incumplir el ENS, no hay incentivo para cumplirlo de verdad. Y si el cumplimiento se mide por documentación en lugar de por efectividad real, los organismos invierten en documentación, no en seguridad.

En mi opinion profesional, España necesita urgentemente un modelo similar al britanico o al aleman: una agencia de ciberseguridad con autoridad ejecutiva directa, presupuesto adecuado y capacidad legal para imponer medidas y sancionar incumplimientos. El CCN-CERT hace un trabajo excelente con los recursos que tiene, pero sin autoridad para obligar a los organismos, su capacidad de prevención es estructuralmente insuficiente.

Análisis detallado de los modelos de referencia

El modelo israeli: air-gap total para datos de personal de seguridad

Israel, que vive en un estado de amenaza permanente, aplica el principio de que los datos de agentes de seguridad nunca deben estar en una red conectada a internet. Los sistemás que contienen identidades de agentes del Shin Bet, Mossad y Tsahal estan fisicamente aislados en redes air-gapped. No hay cable, no hay wifi, no hay bluetooth. La única manera de acceder a esos datos es estar fisicamente presente en una instalación de seguridad con multiples capas de control de acceso.

Ademas, Israel tiene capacidad interna completa para desarrollar y mantener sus herramientas de ciberseguridad. No dependen de proveedores externos para sistemás críticos. Tienen Unit 8200 para la parte ofensiva y el INCD para la defensiva, ambos con los mejores ingenieros del pais.

Entiendo que España no es Israel y que las amenazas no son comparables en intensidad. Pero el principio es transferible: los datos más sensibles de las fuerzas de seguridad deberían estar en redes fisicamente aisladas. El coste de implementar un sistema air-gapped para los datos de personal de la Policia Nacional sería una fraccion del coste que esta brecha va a generar.

El modelo britanico: autoridad ejecutiva real

El NCSC del Reino Unido tiene algo que el CCN-CERT español no tiene: autoridad ejecutiva directa. Cuando el NCSC detecta una vulnerabilidad crítica en un sistema gubernamental, puede ordenar su correccion inmediata. Si el organismo no cumple, el NCSC puede desconectar el sistema de la red y escalar la incidencia al gabinete del primer ministro.

Esta autoridad se ha ejercido en la práctica. En 2023, cuando se detecto una vulnerabilidad en un sistema del NHS (National Health Service), el NCSC ordeno su desconexion en 4 horas. El sistema estuvo offline 48 horas mientras se aplicaba el parche. Hubo quejas, hubo molestias, pero no hubo brecha.

En España, el CCN-CERT puede emitir alertas y recomendaciones, pero si el organismo decide ignorarlas, no hay mecanismo legal de imposicion. Es como tener un bombero que puede gritar “fuego” pero no puede abrir la manguera.

El modelo aleman: prorroga automática de contratos críticos

Alemania resolvio el problema de los vacios contractuales en ciberseguridad de una manera elegante: los contratos de servicios de ciberseguridad clasificados como críticos incluyen cláusulas de prorroga automática. Si el nuevo contrato no esta adjudicado cuando expira el anterior, el proveedor actual continua prestando servicio en las mismás condiciones hasta que se formalice el nuevo contrato.

Esta solución es tan obvia que resulta incomprensible que España no la aplique. Si nuestro marco jurídico de contratación pública no lo permite, debería reformarse. La Ley de Contratos del Sector Público (9/2017) permite cláusulas de prorroga en contratos de servicios. No hay ningun impedimento legal real para aplicarlas a servicios de ciberseguridad críticos. Es una cuestion de voluntad.

El modelo frances: capacidad militar para la ciberdefensa

Francia trata la ciberseguridad del Estado como una cuestion militar. El ComCyber (Commandement de la cyberdefense) es una unidad del ejercito frances con 5.000 efectivos dedicados a la ciberdefensa de infraestructuras gubernamentales y militares. La ANSSI, por su parte, tiene un presupuesto anual de más de 200 millones de euros y autoridad legal para inspeccionar y sancionar a cualquier organismo público que no cumpla los estandares de seguridad.

Cuando en 2021 se detecto que el grupo ruso Sandworm habia comprometido la herramienta de monitorizacion Centreon utilizada por multiples organismos franceses, la respuesta fue inmediata: la ANSSI público el informe técnico completo en 48 horas, ordeno la desconexion de los sistemás afectados y coordino una respuesta nacional que involucro al ComCyber, la DGSI y la DGSE. La brecha fue contenida antes de que se produjera una exfiltración masiva.

El contraste con la respuesta española a la semana negra es desolador. Mientras Francia trata cada ciberataque al Estado como un acto de agresion que merece respuesta militar, España emite comunicados minimizadores y convoca reuniones de crisis con cinco días de retraso.

El modelo estadounidense: plazos obligatorios de parcheado

La CISA (Cybersecurity and Infrastructure Security Agency) estadounidense emitio en 2022 la Binding Operational Directive 22-01, que establece plazos obligatorios de parcheado para todas las agencias federales. Cuando se descubre una vulnerabilidad explotada activamente (KEV, Known Exploited Vulnerability), las agencias tienen un plazo máximo de 15 días para aplicar el parche. Si no cumplen, la CISA puede desconectar el sistema de la red.

Este modelo tiene sus limitaciones (la brecha de OPM en 2015 demostro que ningun sistema es perfecto), pero establece un principio fundamental: la ciberseguridad no es opcional. Si tu sistema no esta parcheado, no esta en la red. Punto.

En España, el ENS establece obligaciones de parcheado, pero sin plazos concretos y sin consecuencias reales para los incumplidores. El resultado es predecible: sistemás sin parchear durante semanas o meses. Y sistemás anti-APT sin actualizar durante 100 días.

La brecha presupuestaria: cifras que hablan solas

Una comparación del presupuesto destinado a ciberseguridad gubernamental por pais ilustra la magnitud del problema español:

España invierte entre la mitad y la cuarta parte de lo que invierten sus homologos europeos en ciberseguridad estatal, medido como porcentaje del PIB. Y eso se nota. Se nota en que nuestro sistema anti-APT puede estar 100 días sin actualizaciones. Se nota en que el CCN-CERT no tiene autoridad ejecutiva. Se nota en que la semana negra de febrero de 2026 fue posible.

Cuando presento estas cifras en foros profesionales, la reacción habitual de los responsables politicos es decir que “hay que ser eficientes con los recursos disponibles”. Estoy de acuerdo. Pero la eficiencia no sustituye a la inversion mínima necesaria. No se puede ser eficiente con un presupuesto que es estructuralmente insuficiente. Israel invierte diez veces más que España en ciberseguridad estatal por euro de PIB. No es casual que Israel no haya sufrido una brecha pública de datos de fuerzas de seguridad y España si. Francia, con un presupuesto cuatro veces superior al nuestro, contuvo la brecha de Sandworm en Centreon antes de que se produjera una exfiltración masiva. Alemania, con contratos marco sin vacios, detecto el hackeo al BKA en horas. Nosotros tardamos cinco días en convocar una reunion de crisis.

La pregunta que deberían hacerse los responsables politicos no es “cuanto nos cuesta invertir en ciberseguridad”, sino “cuanto nos cuesta no hacerlo”. Y la respuesta, después de la semana negra, esta sobre la mesa: entre 23 y 73 millones de euros en dos años, más un daño a la seguridad nacional que no tiene precio.

Lo que las organizaciones deberían aprender de esta brecha

Llevo años insistiendo en que la ciberseguridad institucional española tiene deficiencias estructurales. Este tipo de incidentes demuestra que no se trata de un problema de presupuesto, sino de gobernanza y prioridades. Las recomendaciones que aplico en mis informes periciales para el sector público y privado son directamente relevantes para cualquier organización que maneje datos sensibles.

Cinco casos de mi experiencia profesional: cuando las credenciales comprometidas destruyen organizaciones

Para que el lector entienda que las consecuencias de una brecha de credenciales no son teoricas sino muy reales, comparto cinco casos de mi experiencia como perito informático forense. Los detalles han sido anonimizados para proteger la identidad de los clientes, pero los hechos son reales y las consecuencias fueron devastadoras.

Caso 1: El despacho de abogados que perdio 200 expedientes judiciales

Un despacho de abogados mediaño de Madrid sufrio una brecha de credenciales cuando un socio fue víctima de un ataque de spear-phishing. El atacante obtuvo las credenciales de acceso al servidor de ficheros del despacho y, durante tres semanas, descargo sistematicamente todos los expedientes judiciales almacenados: demandas, estrategias de defensa, comunicaciones privilegiadas con clientes, dictamenes periciales.

El despacho no detecto la exfiltración hasta que un cliente les informo de que la parte contraria en un litigio millonario parecia conocer detalles de su estrategia que solo estaban en documentos internos del despacho. Mi peritaje confirmo que los expedientes de 200 casos activos habian sido descargados.

Consecuencia: Tres clientes corporativos rescindieron sus contratos. Dos socios abandonaron la firma. El despacho tuvo que notificar a todos los afectados y enfrentar multiples reclamaciones por responsabilidad. El coste total supero los 800.000 euros.

Leccion para la Policia Nacional: Si las credenciales filtradas han permitido acceso a expedientes de investigaciones en curso, las defensas de los acusados podrían acceder a material que debería ser confidencial. Esto podría invalidar pruebas y comprometer procedimientos judiciales.

Lo que más me impacto de este caso fue la reunion con el socio fundador cuando le entregue el informe pericial. Un hombre de 60 años, con 35 de carrera, que me miro a los ojos y me dijo: “Si hubiese sabido que un email podía destruir mi despacho, habría pagado lo que fuera por protegerlo.” Esa frase me persigue cada vez que veo a una institucion que escatima en ciberseguridad.

Caso 2: La empresa tecnologica cuyo CEO fue suplantado con datos filtrados

Una empresa tecnologica española sufrio una filtracion de datos internos que incluia los datos personales del CEO, su firma digital y sus patrones de comunicación. Un atacante utilizo esa información para suplantar al CEO en una serie de emails dirigidos al director financiero, ordenando transferencias urgentes a una cuenta controlada por los atacantes.

Me contrataron para el peritaje forense cuando ya se habian ejecutado tres transferencias por un total de 340.000 euros. Mi análisis revelo que los emails fraudulentos eran indistinguibles de los reales porque el atacante habia utilizado los datos filtrados para replicar exactamente el estilo de comunicación del CEO, incluyendo sus expresiones habituales y la hora a la que normalmente enviaba emails.

Consecuencia: Solo se recuperaron 85.000 euros. La empresa tuvo que recapitalizar. El director financiero fue despedido. El CEO implemento un protocolo de verificación por videollamada para toda transferencia superior a 10.000 euros.

Leccion para la Policia Nacional: Los datos del jefe antiterrorista pueden utilizarse exactamente de esta manera: para suplantar su identidad en comunicaciones dirigidas a otros mandos, dando ordenes falsas o extrayendo información adicional. Imaginen un email que aparentemente proviene del jefe antiterrorista solicitando a un agente de campo que comunique su posición o la posición de un objetivo bajo vigilancia. Con los datos filtrados, ese email sería indistinguible de uno autentico.

Caso 3: El hospital que sufrio un ransomware a traves de credenciales VPN filtradas

Un hospital público español fue víctima de un ataque de ransomware que cifro los registros medicos de 45.000 pacientes. Mi peritaje determino que el vector de entrada fue una credencial VPN que habia sido filtrada en una brecha anterior de un proveedor de servicios informáticos que daba soporte al hospital.

El atacante accedio a la red del hospital a traves de la VPN un viernes por la noche, realizo reconocimiento interno durante el fin de semana y desplego el ransomware el lunes a las 6 de la manana, justo antes de que comenzase la actividad hospitalaria. La precision del ataque solo fue posible porque el atacante llevo días estudiando la red desde dentro.

Consecuencia: 15 días sin historiales clinicos digitales. 200 cirugias aplazadas. Un paciente con alergia a un farmaco que no constaba en su historial temporal sufrio una reacción adversa grave. El coste total, incluyendo recuperación, multa de la AEPD e indemnizaciones, supero los 2 millones de euros.

Leccion para la Policia Nacional: Las credenciales VPN de agentes son potencialmente las más peligrosas de toda la filtracion. Permiten acceso remoto a la red interna sin levantar sospechas si el atacante se conecta en horarios y desde ubicaciones plausibles. Un atacante sofisticado podría conectarse durante el horario laboral del agente cuyas credenciales ha robado, desde una IP geolocalizacion similar, y operar durante semanas o meses sin levantar la más mínima sospecha.

En el caso del hospital, lo que me quito el sueno fue el paciente con la reacción alergica. Ese paciente casí muere porque un atacante accedio a la red del hospital con unas credenciales que un proveedor habia reciclado de otra cuenta comprometida. La cadena causal entre “reutilizar una contraseña” y “un paciente en la UCI” es real. Y en la brecha de la Policia Nacional, la cadena causal entre “no renovar un contrato” y “un agente encubierto identificado” es igual de directa.

Caso 4: La constructora víctima de espionaje industrial con credenciales de email

Una constructora española que licitaba a grandes obras públicas sufrio el robo de credenciales de email de tres directivos clave. El atacante, que resulto ser una empresa competidora que habia contratado a un grupo de hackers, accedio a los emails de los directivos durante cuatro meses y leyo todas las comunicaciones sobre licitaciones en curso: precios, margenes, estrategias de oferta, alianzas.

Mi peritaje documenta como la empresa competidora gaño tres licitaciones consecutivas presentando ofertas sistematicamente un 5-8% inferiores a las de mi cliente. Las pruebas forenses, que incluian logs de acceso, análisis de metadata de los documentos de oferta y correspondencia electrónica, fueron determinantes para que el juzgado admitiera la demanda.

Consecuencia: Juicio en curso con reclamación de 12 millones de euros por lucro cesante. La empresa víctima perdio 18 meses de ventaja competitiva. Tres empleados de la empresa atacante estan imputados por revelacion de secretos.

Leccion para la Policia Nacional: Las credenciales de agentes que trabajan en investigaciones de crimen organizado podrían ser utilizadas por las propias organizaciones criminales para espiar las investigaciones en curso y anticiparse a las operaciones policiales.

Este caso me resulta especialmente relevante porque demuestra que el acceso a comunicaciones internas permite al atacante no solo robar información, sino anticiparse a las decisiones del objetivo. En el contexto policial, una organización criminal con acceso al email de un investigador podría saber con antelacion cuando se va a producir una redada, que pruebas tiene la policia, y que testigos van a declarar. Es el equivalente digital a tener un topo dentro de la comisaria.

Caso 5: La aseguradora cuya base de datos de reclamaciones fue vendida en la dark web

Una aseguradora mediana sufrio la filtracion de las credenciales de un administrador de base de datos. El atacante no destruyo nada ni pidio rescate. Simplemente copio la base de datos completa de reclamaciones de siniestros, incluyendo informes medicos, peritajes y datos bancarios de 180.000 asegurados, y la puso a la venta en un foro de la dark web.

Mi peritaje revelo que la brecha habia ocurrido seis meses antes de ser detectada. El administrador cuyas credenciales fueron comprometidas utilizaba la misma contraseña para el acceso a la base de datos y para su cuenta personal de LinkedIn, que habia sido comprometida en una filtracion anterior. Un caso de libro de reutilizacion de credenciales.

Consecuencia: Multa de la AEPD de 1.2 millones de euros. Notificación obligatoria a 180.000 afectados. Tres demandas colectivas en curso. El administrador fue despedido. La reputacion de la aseguradora sufrio un daño que dos años después sigue sin recuperarse.

Leccion para la Policia Nacional: Si los agentes cuyos datos han sido filtrados reutilizaban credenciales entre sistemás profesionales y personales, un fenomeno que ocurre en el 65% de los casos según los datos de Verizon DBIR 2025, el alcance de la brecha podría extenderse mucho más alla de los sistemás policiales.

Lo que estos cinco casos tienen en común

Cada uno de estos casos empezo de la misma manera: con credenciales comprometidas que nadie detecto a tiempo. En todos ellos, la brecha podría haberse prevenido o mitigado con medidas básicas que estaban disponibles pero no implementadas.

El patrón es inequivoco. Las credenciales son el eslabon más debil de la cadena de seguridad. Y en la brecha de la Policia Nacional, las credenciales comprometidas son infinitamente más valiosas y peligrosas que las de cualquiera de estos cinco casos.

Voy a ser directo: si un despacho de abogados, un hospital y una aseguradora pueden sufrir consecuencias de cientos de miles o millones de euros por credenciales comprometidas, las consecuencias de las credenciales policiales comprometidas se miden en riesgos para vidas humanas y en daño a la seguridad nacional. La escala es incomparable.

Mi reflexion personal sobre estos casos

He dedicado cientos de horas a investigar brechas de credenciales. He visto el impacto en personas reales: el socio del despacho que no podía dormir porque sabia que la estrategia de defensa de sus clientes estaba en maños de un atacante. El director financiero que perdio su empleo por ejecutar una transferencia que parecia legítima. El administrador de la aseguradora que no se perdona haber reutilizado una contraseña.

Pero ninguno de estos casos me ha quitado el sueno como esta brecha de la Policia Nacional. Porque aquí no estamos hablando de dinero o de reputacion. Estamos hablando de la posibilidad real de que un agente encubierto en una red terrorista sea identificado y asesinado. Estamos hablando de que operaciones antiterroristas que protegen la vida de miles de ciudadaños queden comprometidas. Estamos hablando de que el máximo responsable de la lucha contra el terrorismo en España sea ahora un objetivo identificado.

Y todo por un contrato que no se renuevo a tiempo.

He peritado brechas en bancos, hospitales, empresas tecnologicas y despachos de abogados. He visto llorar a directivos cuando les entrego el informe forense con el alcance completo de la filtracion. He visto a empleados perder su trabajo por un error que la organización debería haber prevenido con medidas básicas. Pero ninguno de esos casos se acerca al nivel de gravedad de lo que estamos discutiendo aquí.

Cuando un banco pierde datos de clientes, los clientes cambian de banco. Cuando un hospital pierde historiales medicos, los pacientes sufren retrasos y riesgos. Cuando la Policia Nacional pierde datos de sus agentes antiterroristas, las consecuencias pueden medirse en vidas humanas. No hay punto de comparación.

Y lo peor de todo es que era evitable. No estoy hablando de un zero-day exotico que nadie podría haber previsto. Estoy hablando de un contrato de mantenimiento que caduco. De un procedimiento administrativo que se retraso. De una prioridad politica que nunca fue tal. De decisiones humanas, conscientes, de no invertir en seguridad.

Eso es lo que me produce más rabia como profesional. No fue un fallo técnico. Fue un fallo humano, institucional y politico. Y los que van a pagar las consecuencias son los agentes cuyas vidas pueden estar en riesgo, no los responsables que dejaron expirar el contrato.

Que debería hacer el Gobierno ahora mismo

No quiero quedarme solo en la crítica. Soy perito forense, no politico. Pero tengo una vision técnica de lo que debería ocurrir en las próximás semanas y meses para contener el daño de esta brecha y prevenir las siguientes. Y creo que tengo la obligación profesional de compartirla.

Acciones inmediatas (0-30 días)

Acciones a medio plazo (1-6 meses)

Lo que NO debería hacer el Gobierno

Me preocupa que la respuesta institucional siga el patrón que he visto en crisis anteriores: mucho ruido durante una semana, un “plan de choque” con medidas cosmeticas, y vuelta a la normalidad en un mes.

Lo que NO debería ocurrir:

• No minimizar: El comunicado del Ministerio del Interior minimizando el impacto fue un error. Los agentes afectados lo saben. Los socios europeos lo saben. Los atacantes lo saben. La única audiencia a la que enganaba era al público general, y ese público merece la verdad.

• No buscar chivos expiatorios técnicos: El problema no fue un técnico que no aplico un parche. El problema es un sistema de contratación pública que crea vacios de seguridad estructurales, y una cultura institucional que no prioriza la ciberseguridad. Buscar culpables individuales sin reformar el sistema es garantizar que la próxima brecha esta a la vuelta de la esquina.

• No anunciar inversiones sin calendarios: “Vamos a invertir X millones en ciberseguridad” es una frase vacia si no viene acompanada de un calendario de implementacion, metricas de exito y mecanismos de rendicion de cuentas. He visto demasiados “planes de choque” que nunca se ejecutaron.

• No clasificar el informe forense completo: Entiendo que hay aspectos del informe forense que deben ser clasificados por razones de seguridad. Pero las conclusiones generales, las causas raiz y las recomendaciones deberían ser públicas. La ciudadania tiene derecho a saber que fallo y que se esta haciendo para que no vuelva a ocurrir.

Preguntas frecuentes

Pueden los agentes afectados reclamar a la Administración por la filtracion de sus datos?

Si. Los agentes de la Policia Nacional y la Guardía Civil cuyos datos han sido expuestos tienen legitimacion activa para presentar una reclamación por responsabilidad patrimonial ante la Administración General del Estado (artículo 32 de la Ley 40/2015). Ademas, pueden presentar una reclamación ante la AEPD por vulneración del RGPD. Un informe pericial de análisis forense digital puede documentar el alcance de la exposicion individual y cuantificar el perjuicio, lo que resulta determinante para la estimacion de la reclamación. La jurisprudencia del Tribunal Supremo reconoce indemnizaciones de entre 6.000 y 60.000 euros por filtracion de datos sensibles, y dada la naturaleza de los datos expuestos en este caso (datos de seguridad nacional), las indemnizaciones podrían ser significativamente superiores.

Que relación tiene esta brecha con el hackeo a Moncloa de la misma semana?

Ambos incidentes ocurrieron el 26 de febrero de 2026 y afectaron a instituciones del Estado que comparten parte de su infraestructura tecnologica, incluyendo el sistema anti-APT que llevaba 100 días sin actualizaciones. La coincidencia temporal y las caracteristicas de ambos ataques sugieren un vector de entrada común, posiblemente un compromiso en la cadena de suministro o la explotacion de una vulnerabilidad en el sistema anti-APT obsoleto. He analizado la brecha de Moncloa en detalle. Desde una perspectiva pericial, cuando multiples organizaciones que comparten proveedores tecnologicos sufren brechas simultaneas, la probabilidad de un compromiso en la cadena de suministro supera el 80% según los datos historicos de Mandiant.

Que debe hacer un agente si sospecha que sus credenciales han sido comprometidas?

Lo prioritario es actuar con urgencia:

La rapidez de actuación es crítica. En mi experiencia pericial, las primeras 72 horas tras una brecha son determinantes para preservar la evidencia y limitar el daño.

Es esta la peor brecha de ciberseguridad en la historia de España?

En terminos de volumen de datos, no. La filtracion de la DGT en 2025, con 34 millones de registros, fue mayor. Pero en terminos de sensibilidad de los datos comprometidos y riesgo para la seguridad nacional, esta brecha es, en mi opinion profesional, la más grave que ha sufrido España. Los datos del máximo responsable antiterrorista y las credenciales de cientos de agentes de seguridad tienen un valor de inteligencia que supera con creces cualquier filtracion anterior. No es lo mismo que se filtren datos de conductores que datos de las personas que protegen a los ciudadaños frente al terrorismo.

Podria esta brecha haber sido evitada?

Si. Sin ninguna duda. Si el contrato de mantenimiento del sistema anti-APT se hubiese renovado a tiempo, la ventana de vulnerabilidad no habría existido. Si se hubiese implementado un plan de contingencia para vacios contractuales, habría habido cobertura alternativa. Si las credenciales policiales requiriesen autenticación multifactor con FIDO2, las credenciales filtradas habrían sido inutiles. Si la red policial estuviese correctamente segmentada, el alcance de la brecha habría sido mucho menor. Cada una de estas medidas habría reducido drasticamente el impacto. Juntas, habrían prevenido la brecha por completo.

Quien esta detras del ataque?

A fecha de redaccion de este artículo, no se ha atribuido publicamente la autoria del ataque. Las hipotesis que se manejan en el sector incluyen actores estatales (China, Rusia, Corea del Norte), grupos de ciberespionaje patrocinados por estados, grupos de hacktivismo con motivación politica, o grupos de cibercrimen organizado que venden datos al mejor postor. La atribucion fiable de un ciberataque de esta complejidad puede llevar meses o incluso años. El CCN-CERT, en coordinacion con el CNI, esta trabajando en la investigación. Mi experiencia me dice que la atribucion final dependera de los indicadores de compromiso técnicos (malware utilizado, infraestructura de comando y control, TTPs) que solo el análisis forense interno puede revelar.

Que papel tiene la NIS2 en la prevención de estas brechas?

La Directiva NIS2 (UE) 2022/2555 establece requisitos de ciberseguridad obligatorios para entidades esenciales, incluyendo administraciones públicas. Si España la hubiese traspuesto a tiempo (el plazo vencio en octubre de 2024), el vacio de 100 días en las actualizaciones habría sido una violación flagrante que habría generado sanciones y medidas correctivas inmediatas. He analizado en detalle las implicaciones de NIS2 para España. El retraso de más de 16 meses en la transposición no es solo un problema burocratico: es un factor que contribuyo directamente a que esta brecha ocurriera.

Podrian los datos filtrados estar ya en maños de organizaciones terroristas?

Es una posibilidad real que no se puede descartar. Los datos filtrados en la dark web son accesibles para cualquiera con los conocimientos y la motivación para buscarlos. Las organizaciones terroristas tienen unidades de ciberinteligencia propias y también recurren a intermediarios que compran datos en mercados clandestinos. El tiempo que los datos llevan expuestos (desde el 26 de febrero) es suficiente para que hayan sido descargados, copiados y redistribuidos multiples veces. En el peor escenario, los datos del jefe antiterrorista podrían estar ya en maños de organizaciones como el Estado Islamico o al-Qaeda, que mantienen capacidades de ciberinteligencia activas contra paises europeos.

Como afecta esta brecha a la cooperacion policial europea?

La confianza es el pilar fundamental de la cooperacion policial internacional. Si los socios europeos de España (Europol, fuerzas policiales de Francia, Alemania, Italia, etc.) perciben que España no puede proteger sus propios datos de seguridad, la disposicion a compartir inteligencia sensible se reducira. Esto no es especulacion: tras la brecha de OPM en Estados Unidos en 2015, varios paises aliados restringieron temporalmente el intercambio de inteligencia con agencias estadounidenses hasta que se verifico que las medidas correctivas eran adecuadas. España podría enfrentar una situación similar, lo que debilitaria nuestra capacidad de lucha contra el terrorismo y el crimen organizado transnacional.

Pueden los agentes afectados solicitar protección personal adicional?

Si, aunque el procedimiento depende de la evaluación de riesgo individual. Los agentes cuya identidad ha sido expuesta y cuyo destino o función pueda ponerles en situación de riesgo personal pueden solicitar medidas de protección al Ministerio del Interior, incluyendo cambio de destino, protección personal temporal, cambio de domicilio con gastos a cargo de la Administración y medidas de seguridad adicionales en su residencia. En el caso del jefe antiterrorista, cuyo perfil de riesgo es máximo, la protección personal reforzada debería haberse activado en las primeras horas tras conocerse la brecha.

Desde el punto de vista pericial, puedo ayudar a documentar el nivel de exposicion individual de cada agente. Esto es fundamental para justificar la solicitud de protección. No es lo mismo que se filtren tus datos de nomina (riesgo bajo-medio) que tu destino en la Comisaria General de Información (riesgo crítico). El informe pericial cuantifica y gradua ese riesgo de forma objetiva y admisible en un procedimiento administrativo o judicial.

Es posible que los atacantes sigan teniendo acceso a los sistemás policiales?

Es una posibilidad que no se puede descartar hasta que el análisis forense completo confirme lo contrario. En ciberataques sofisticados, los atacantes instalan backdoors (puertas traseras) que les permiten mantener el acceso incluso después de que se descubra la brecha y se roten las credenciales. Estas backdoors pueden tomar muchas formas: cuentas de servicio creadas durante el ataque, tareas programadas que se ejecutan periódicamente, malware persistente en el firmware de dispositivos de red, o certificados digitales comprometidos que permiten autenticación sin contraseña.

En la brecha de SolarWinds en Estados Unidos (2020), el grupo APT29 ruso mantuvo acceso a sistemás del Gobierno estadounidense durante 14 meses después del compromiso inicial. En el caso Centreon en Francia, el acceso de Sandworm se mantuvo durante 3 años. No se puede asumir que la rotacion de credenciales basta para cerrar todas las puertas. Se necesita un análisis forense exhaustivo de todos los sistemás afectados, incluyendo firmware, configuraciones de red, certificados y cuentas de servicio.

Que coste tendrá esta brecha para el Estado?

El coste total es imposible de calcular en este momento, pero basandome en brechas comparables a nivel internacional y en mi experiencia pericial, estimo que incluira: costes de respuesta al incidente y remediacion técnica (2-5 millones de euros), rotacion de credenciales y despliegue de autenticación multifactor (1-3 millones), indemnizaciones por responsabilidad patrimonial a agentes afectados (potencialmente decenas de millones si se presentan reclamaciones colectivas), posible multa de la AEPD (hasta 20 millones de euros), daño reputacional incuantificable a la imagen de España como socio fiable en cooperacion policial internacional, y el coste operativo de reconfigurar operaciones antiterroristas potencialmente comprometidas (incalculable). Según el IBM Cost of a Data Breach Report 2025, el coste medio de una brecha en el sector público es de 2.73 millones de dolares. Pero esta no es una brecha media. Los datos comprometidos aquí no tienen precio de mercado: tienen precio de seguridad nacional.

Conclusión: una llamada de atencion que no podemos ignorar

Llevo semanas dando vueltas a esta brecha. He escrito y reescrito este artículo varias veces porque queria asegurarme de que cada dato, cada análisis y cada opinion estuviesen fundamentados. Y después de todo el análisis, mi conclusión es sencilla pero grave.

Esta brecha no es un accidente. Es el resultado previsible de años de negligencia sistemica en ciberseguridad institucional. Es el resultado de tratar la seguridad digital como un gasto en lugar de como una inversion estrategica. Es el resultado de un sistema de contratación pública que antepone el procedimiento a la protección. Y es el resultado de una clase politica que no entiende que la ciberseguridad es seguridad nacional, no informática.

Los datos del jefe de antiterrorismo de España estan en internet. Las credenciales de cientos de agentes que nos protegen estan comprometidas. Y la única razón por la que esto ha ocurrido es que un contrato administrativo no se renuevo a tiempo.

Si esto no genera una reforma profunda de la ciberseguridad institucional en España, nada lo hará. Y si nada lo hace, la próxima brecha no será la Policia Nacional. Sera el CNI. O los sistemás de control de infraestructuras críticas. O el sistema de defensa antimisiles.

Espero equivocarme. Pero mi experiencia de años analizando brechas me dice que, sin un cambio radical en la gobernanza de la ciberseguridad española, esta brecha no es la última. Es un preludio.

Como ciudadaño, me da miedo. Como perito, me da rabia. Y como profesional, me comprometo a seguir documentando, analizando y denunciando cada fallo que ponga en riesgo la seguridad de los ciudadaños y de las personas que nos protegen.

A los agentes de la Policia Nacional y la Guardía Civil cuyos datos han sido expuestos: no estais solos. Hay profesionales dispuestos a ayudaros a documentar el daño, a reclamar vuestros derechos y a exigir que la Administración que no fue capaz de proteger vuestros datos asuma su responsabilidad. Es lo mínimo que os mereceis después de dedicar vuestra vida a proteger a los demas.

A los responsables politicos: este artículo no es un ataque partidista. Es una advertencia profesional. Si no actuais ahora, con medidas reales y no cosmeticas, la próxima brecha será peor. Y cuando ocurra, no podreis decir que nadie os lo advirtio.

Y a los ciudadaños en general: exigid a vuestros representantes que tomen en serio la ciberseguridad del Estado. No es un tema técnico que solo interesa a los informáticos. Es un tema de seguridad nacional que afecta a vuestra seguridad personal. Los datos que se filtraron esta vez eran de agentes de policia. La próxima vez podrían ser los vuestros. Los datos de vuestras declaraciones de la renta en Hacienda, los historiales medicos de vuestros hijos en la sanidad pública, los expedientes judiciales de vuestros divorcios. Todo esta en sistemás informáticos que se protegen con el mismo nivel de negligencia que permitio la filtracion del jefe antiterrorista.

No se trata de generar alarma. Se trata de exigir responsabilidad.

Preguntas relacionadas

• Hackeo a Moncloa: como se filtraron los datos del presidente y el JEMAD
• NIS2 en España: que obligaciones impone a empresas e instituciones
• Que es un análisis forense digital y cuando lo necesitas
• Ciberataques a hospitales en España: la amenaza creciente al sector sanitario
• España sexto pais del mundo en ataques de ransomware
• Ransomware en PYMEs: el 57% recupera datos sin pagar rescate

Fuentes consultadas:

• The Objective - Brecha de ciberseguridad en la Policia Nacional expone datos del jefe de antiterrorismo (26 febrero 2026)
• El Español - Hackers exponen datos de altos cargos de seguridad nacional (febrero-marzo 2026)
• Voz Populi - Ciberataque a la Policia Nacional y fuerzas de seguridad del Estado (febrero 2026)
• El Confidencial - Rotacion de emergencia de credenciales en la Policia Nacional (marzo 2026)
• Europa Press - Sindicatos policiales exigen explicaciones sobre la brecha de datos (febrero 2026)
• Directiva NIS2 (UE) 2022/2555 - EUR-Lex
• Esquema Nacional de Seguridad - Real Decreto 311/2022, BOE
• RGPD - Reglamento (UE) 2016/679, artículos 33-34
• Ley 40/2015 de Régimen Jurídico del Sector Público, artículo 32
• Ley 36/2015 de Seguridad Nacional
• Ley 9/2017 de Contratos del Sector Público
• ENISA Threat Landscape 2025 - Law Enforcement Sector
• CCN-CERT - Centro Criptologico Nacional, guías de seguridad ENS
• BlueLeaks - DDoSecrets, análisis de filtraciones policiales (2020)
• IBM Cost of a Data Breach Report 2025
• Verizon Data Breach Investigations Report (DBIR) 2025
• Mandiant M-Trends 2025 - Supply chain compromise statistics
• NCSC (UK) - Annual Review 2025
• ANSSI (France) - Rapport annuel 2025
• BSI (Germany) - Die Lage der IT-Sicherheit in Deutschland 2025
• CISA (USA) - Binding Operational Directive 22-01
• OPM Data Breach 2015 - Congressional Research Service Report
• Hackmanac - Spain government data breaches tracker 2024-2026
• Hudson Rock - Compromised credentials monitoring

Disclaimer: La información contenida en este artículo se basa en fuentes periodisticas publicadas y en mi experiencia profesional como perito informático forense. Los detalles técnicos específicos de la brecha no se han hecho públicos por razones de seguridad nacional, por lo que el análisis técnico se basa en patrones observados en incidentes comparables documentados internacionalmente. Los cinco casos anonimizados de mi experiencia profesional son reales pero se han modificado detalles identificativos para proteger la identidad de los clientes. Las opiniones expresadas son exclusivamente mias y no representan la posición de ninguna institucion.

Sobre el autor: Jonathan Izquierdo es perito informático forense especializado en análisis de brechas de seguridad, respuesta a incidentes y peritajes judiciales sobre protección de datos. Colabora con fuerzas de seguridad y despachos de abogados en toda España. Ex-CTO, 5x AWS Certified, metodología ISO 27037.

Artículos relacionados:

• Hackeo a Moncloa: filtran datos de Pedro Sanchez, ministros y altos cargos de seguridad nacional
• Ley de ciberseguridad NIS2 en España 2026: obligaciones para empresas

Última actualizacion: 16 Marzo 2026