· Jonathan Izquierdo · Noticias seguridad ·
Ciberataque a la Bolsa de Vivienda de Barcelona: 6.800 datos personales expuestos
Un ciberataque el 26 de diciembre de 2025 comprometió datos de 6.800 inscritos en la Bolsa de Vivienda de Alquiler de Barcelona. Análisis forense del incidente y lecciones RGPD.
Un ciberataque contra el portal web del Consell Social de l’Habitatge de Barcelona el 26 de diciembre de 2025 comprometió los datos personales de aproximadamente 6.800 personas inscritas en la Bolsa de Vivienda de Alquiler (CatalunyaPress, 4 Feb 2026). DNI, emails, teléfonos, fechas de nacimiento y códigos postales de ciudadanos inscritos entre 2014 y 2018 quedaron expuestos. La APDCAT (Autoritat Catalana de Protecció de Dades) archivó el expediente sin sanción tras verificar que se notificó en plazo, pero los afectados no fueron informados hasta 40 días después del incidente.
Como perito informático forense, este caso plantea cuestiones técnicas y legales relevantes: un ataque ejecutado en festivo contra infraestructura legacy, una migración de servidor de emergencia que sugiere compromiso a nivel de infraestructura, y un plazo de comunicación a los afectados que merece análisis desde la perspectiva del RGPD.
TL;DR - Resumen ejecutivo
En 60 segundos:
| Aspecto | Detalle |
|---|---|
| Personas afectadas | Aproximadamente 6.800 inscritos (datos de 2014-2018) |
| Datos comprometidos | DNI (algunos), fechas nacimiento, emails, teléfonos, códigos postales, IDs usuario |
| Fecha detección | 26 de diciembre de 2025 (festivo de Sant Esteve) |
| Fecha comunicación pública | 4 de febrero de 2026 (40 días después) |
| Autoridad competente | APDCAT (Autoritat Catalana de Protecció de Dades) |
| Estado del caso | Expediente cerrado y archivado sin sanción |
| Qué hacer si eres afectado | Cambiar contraseñas, activar 2FA, vigilar phishing, monitorizar cuentas bancarias |
Cronología del incidente
El ataque se produjo en una fecha estratégica: el 26 de diciembre, festividad de Sant Esteve en Cataluña, cuando los equipos de seguridad operan con dotación mínima. La secuencia de eventos revela tanto la velocidad de detección como la lentitud en la comunicación a los afectados.
| Fecha | Evento |
|---|---|
| 26 dic 2025 | Detección de actividad irregular en el portal web (festivo Sant Esteve) |
| 29 dic 2025 | Portal web desactivado como medida de contención |
| 5 ene 2026 | Servicio restaurado en un servidor nuevo (migración completa) |
| 4 feb 2026 | Comunicación pública y notificación a las personas afectadas |
| ~5 feb 2026 | APDCAT cierra y archiva el expediente sin sanción |
Fuentes: El Debate, 4 Feb 2026; beteve.cat, 5 Feb 2026; El Punt Avui, 5 Feb 2026.
La notificación a la Agència de Ciberseguretat de Catalunya, al CCN-CERT y a la propia APDCAT se realizó dentro de los plazos establecidos por el artículo 33 del RGPD (72 horas). Sin embargo, los ciudadanos afectados no recibieron comunicación hasta el 4 de febrero de 2026, es decir, 40 días después de la detección del incidente.
Qué datos fueron comprometidos
Según la notificación remitida a los afectados y la información publicada por múltiples medios, los datos expuestos corresponden a personas inscritas en la Bolsa de Vivienda de Alquiler de Barcelona entre 2014 y 2018. Esto implica que algunos de estos datos tenían hasta 12 anos de antiguedad en el sistema.
| Tipo de dato | Confirmado | Riesgo |
|---|---|---|
| DNI (algunos registros) | Si | Alto: permite suplantación de identidad |
| Fechas de nacimiento | Si | Medio: dato complementario para fraudes |
| Direcciones de email | Si | Medio-alto: vector directo de phishing |
| Números de teléfono | Si | Medio-alto: smishing y vishing |
| Códigos postales | Si | Bajo: dato de localización genérica |
| Identificadores de usuario | Si | Bajo-medio: posible reutilización en otros servicios |
Discrepancia sobre cuentas bancarias
Existe una discrepancia entre las fuentes sobre si se comprometieron también datos de cuentas bancarias. Algunos medios mencionan datos bancarios entre la información expuesta, mientras que la notificación oficial se centra en los datos identificativos listados arriba. Si estuviste inscrito en la Bolsa de Vivienda entre 2014 y 2018, es recomendable monitorizar tus movimientos bancarios como medida de precaución independientemente de esta discrepancia.
El hecho de que los datos correspondan al periodo 2014-2018 plantea una cuestión fundamental sobre el principio de minimización del RGPD: por qué datos de hasta 12 anos de antiguedad seguían almacenados en un portal web accesible desde internet.
Cómo se ejecutó el ataque
Los detalles técnicos del vector de ataque no han sido revelados públicamente, pero varios indicios permiten reconstruir parcialmente lo ocurrido.
El dato más revelador desde la perspectiva forense es que la restauración requirió migrar a un servidor nuevo, no simplemente parchear el existente. Esto indica un compromiso a nivel de infraestructura, no un simple ataque a la capa de aplicación como una inyección SQL. Cuando se descarta el servidor original y se migra a uno nuevo, generalmente significa que o bien no se puede garantizar la integridad del sistema comprometido, o bien el nivel de acceso del atacante fue suficientemente profundo como para hacer inviable una remediación in situ.
No se ha producido atribución del ataque a ningún grupo ni se ha reportado demanda de rescate, lo que descarta ransomware y apunta a una operación de exfiltración pura de datos.
El debate sobre los 40 días de silencio
Este es quizás el aspecto más controvertido del incidente. El RGPD establece dos obligaciones de notificación distintas ante una brecha de datos personales:
Artículo 33 - Notificación a la autoridad de control: El responsable del tratamiento debe notificar a la autoridad competente (en este caso, la APDCAT) en un plazo máximo de 72 horas desde que tiene conocimiento de la brecha. Según las fuentes disponibles, esta notificación se realizó en plazo, al igual que las comunicaciones al CCN-CERT y a la Agència de Ciberseguretat de Catalunya.
Artículo 34 - Comunicación al interesado: Cuando la brecha suponga un alto riesgo para los derechos y libertades de las personas, el responsable debe comunicarlo a los afectados “sin dilación indebida”.
Artículo 34 RGPD: comunicación al interesado
El artículo 34 del RGPD no establece un plazo concreto en horas o días para la comunicación a los afectados, sino que exige que se realice “sin dilación indebida” cuando existe alto riesgo. La interpretación de este plazo depende de las circunstancias: necesidad de evaluar el alcance, investigación forense en curso, coordinación con autoridades. Sin embargo, 40 días entre la detección (26 de diciembre) y la comunicación a los afectados (4 de febrero) es un plazo que invita al escrutinio, especialmente cuando los datos expuestos incluyen DNI y datos de contacto que permiten ataques de phishing personalizado.
Durante esos 40 días, los 6.800 afectados desconocían que sus datos habían sido comprometidos y no pudieron tomar medidas de protección como cambiar contraseñas, activar verificación en dos pasos o estar alerta ante posibles intentos de phishing dirigido.
Pese a este plazo, la APDCAT optó por cerrar y archivar el expediente sin imponer sanción. Las delegadas de protección de datos implicadas son contactables en [email protected] (Generalitat) y [email protected] (Consorci de l’Habitatge de Barcelona).
Riesgos para los afectados
Bruno Pérez Junca, perito judicial informático forense entrevistado por beteve.cat, advirtió que los datos robados permiten construir “estafas más creíbles” mediante phishing hiperpersonalizado. El experto alertó de varios riesgos concretos:
Phishing hiperpersonalizado: Con DNI, email, teléfono y código postal, un atacante puede construir comunicaciones fraudulentas extremadamente convincentes. Un email que dice “Estimado/a [nombre real], en relación con su inscripción en la Bolsa de Vivienda de Barcelona del ano [ano real], necesitamos actualizar sus datos bancarios” tiene una tasa de éxito significativamente mayor que un phishing genérico.
Datos bancarios como vector de ataque selectivo: Si se confirma que algunos registros contenían datos de cuentas bancarias, el atacante podría identificar la entidad bancaria y sucursal concreta del afectado, lo que permitiría phishing bancario dirigido suplantando a esa entidad específica.
Ventana temporal de los viernes: Pérez Junca senala que las estafas “suelen producirse los viernes a partir de las tres de la tarde, cuando las oficinas ya están cerradas”, lo que dificulta la verificación inmediata por parte de la víctima y retrasa la respuesta hasta el lunes.
Clonación de voz con IA: Con acceso al número de teléfono, un atacante podría obtener una muestra de voz de la víctima (llamada breve o buzón de voz) y utilizar herramientas de clonación de voz basadas en inteligencia artificial, que actualmente solo necesitan unos minutos de audio para generar una réplica convincente. Esto abre la puerta a ataques de vishing (voice phishing) donde la víctima o sus familiares reciben llamadas aparentemente de personas conocidas.
A la fecha de publicación de este artículo, no se han reportado fraudes derivados de esta brecha. Sin embargo, los ataques de phishing basados en datos robados pueden producirse semanas o meses después del incidente.
Lecciones para administraciones públicas
Este incidente pone de manifiesto problemas estructurales en la gestión de datos personales por parte de las administraciones públicas que van más allá de la seguridad perimetral.
Qué hacer si tus datos han sido expuestos
Si estuviste inscrito en la Bolsa de Vivienda de Alquiler de Barcelona entre 2014 y 2018, estas son las medidas recomendadas:
Preguntas frecuentes
Qué es la Bolsa de Vivienda de Alquiler de Barcelona
La Bolsa de Vivienda de Alquiler de Barcelona (Borsa d’Habitatge de Lloguer) es un servicio público gestionado por el Consorci de l’Habitatge de Barcelona que facilita el acceso a viviendas de alquiler a precios asequibles. Los propietarios ceden la gestión de sus inmuebles al Consorci, que los ofrece a inquilinos inscritos en el registro. Los 6.800 afectados por el ciberataque son personas que se inscribieron en este servicio entre 2014 y 2018, proporcionando datos personales como parte del proceso de solicitud.
Tengo derecho a indemnización si mis datos fueron expuestos
El artículo 82 del RGPD reconoce el derecho a indemnización por danos materiales o inmateriales derivados de una infracción del reglamento. Para que una reclamación prospere, es necesario demostrar: (1) que se produjo un tratamiento ilícito o una brecha de seguridad, (2) que sufriste un dano real (económico o moral), y (3) que existe un nexo causal entre la brecha y el dano. En este caso, la APDCAT ya archivó el expediente sin sanción, lo que complica pero no impide una reclamación civil. Si sufres un fraude que puedas vincular temporalmente a esta brecha, un informe pericial forense que documente la conexión fortalecería significativamente la reclamación.
Cuánto tarda una investigación forense de una brecha de datos
El plazo depende del alcance y la complejidad del incidente. Una investigación forense de una brecha como la de la Bolsa de Vivienda, que afecta a un portal web con base de datos estructurada, puede completarse en 2 a 4 semanas. Esto incluye la preservación de evidencia, análisis de logs de acceso, determinación del vector de entrada, evaluación del alcance de la exfiltración y elaboración del informe pericial. En casos más complejos con múltiples sistemas comprometidos o persistencia del atacante, la investigación puede extenderse a 6 u 8 semanas.
Datos expuestos en una brecha de seguridad?
Análisis pericial forense para documentar el incidente, preservar la cadena de custodia y elaborar informes válidos en procedimientos judiciales. Primera consulta gratuita por videollamada.
Más informaciónConclusión
El ciberataque a la Bolsa de Vivienda de Barcelona es un caso de estudio sobre los riesgos de mantener datos personales históricos en infraestructura web accesible. 6.800 ciudadanos que simplemente solicitaron acceso a vivienda asequible hace hasta 12 anos descubrieron, 40 días después del hecho, que sus datos personales habían sido comprometidos.
Aunque la APDCAT archivó el expediente y no se han reportado fraudes derivados hasta la fecha, el riesgo de phishing hiperpersonalizado persiste durante meses. La combinación de DNI, email, teléfono y código postal proporciona a un atacante los elementos necesarios para construir estafas creíbles dirigidas a personas concretas.
Para las administraciones públicas, la lección es clara: el principio de minimización del RGPD no es un formalismo, sino una medida de seguridad. Los datos que no necesitas almacenar en un portal web son datos que no pueden ser robados de ese portal web. Y la comunicación a los afectados debe ser tan ágil como la notificación a las autoridades, porque son los ciudadanos quienes necesitan protegerse.
Fuentes y referencias
CatalunyaPress (2026). “Un ciberataque al Consell de l’Habitatge Social de Barcelona compromete los datos de 6.800 personas”. https://www.catalunyapress.es/texto-diario/mostrar/5293866/ciberataque-consell-habitatge-social-barcelona-compromete-datos-6800-personas
El Debate (2026). “Un ciberataque al Consell Social de l’Habitatge de Barcelona compromete los datos de 6.800 personas”. https://www.eldebate.com/espana/cataluna/20260204/ciberataque-consell-social-habitatge-barcelona-compromete-datos-6800-personas_254271.html
beteve.cat (2026). “Un ciberatac al Consell de l’Habitatge Social de Barcelona deixa al descobert les dades de 6.800 persones”. https://beteve.cat/societat/ciberatac-consell-habitatge-social-barcelona-dades-6800-persones/
El Punt Avui (2026). “Un ciberatac a l’habitatge social deixa al descobert les dades de 6.800 persones”. https://www.elpuntavui.cat/societat/article/5-societat/2502761-un-ciberatac-a-l-habitatge-social-deixa-al-descobert-les-dades-de-6-800-persones.html
BitLife Media (2026). “Ciberataque al Consell de l’Habitatge Social de Barcelona: datos de 6.800 personas comprometidos”. https://bitlifemedia.com/2026/02/ciberataque-consell-habitatge-social-barcelona/
Metropoli Abierta (2026). “Un ciberataque compromete los datos de 6.800 personas inscritas en la Bolsa de Vivienda de Barcelona”. https://www.metropoliabierta.com/informacion-municipal/vivienda/ciberataque-bolsa-vivienda-barcelona-datos-6800-personas_86752_102.html
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD). Artículos 5.1.e (minimización), 33 (notificación a autoridad), 34 (comunicación al interesado), 82 (indemnización). https://www.boe.es/doue/2016/119/L00001-00088.pdf
APDCAT - Autoritat Catalana de Protecció de Dades. https://apdcat.gencat.cat/
Agència de Ciberseguretat de Catalunya. https://ciberseguretat.gencat.cat/
CCN-CERT (Centro Criptológico Nacional). Guía de notificación y gestión de ciberincidentes. https://www.ccn-cert.cni.es/
Escrito por Jonathan Izquierdo, perito informático forense. Actualizado el 16 de febrero de 2026.
