· Jonathan Izquierdo · Noticias seguridad  ·

13 min de lectura

Hackeo al INCIBE: filtran datos personales de altos cargos de ciberseguridad de España

El grupo Police-ESP-Doxed publica DNI, teléfonos y domicilios de directivos del INCIBE, el organismo nacional de ciberseguridad. Analizamos el ataque y sus implicaciones.

El grupo Police-ESP-Doxed publica DNI, teléfonos y domicilios de directivos del INCIBE, el organismo nacional de ciberseguridad. Analizamos el ataque y sus implicaciones.

El organismo que protege a España frente a los ciberataques acaba de ser víctima de uno. En febrero de 2026, el grupo autodenominado “Police-ESP-Doxed” publicó datos personales de aproximadamente 10 empleados del Instituto Nacional de Ciberseguridad (INCIBE), incluyendo cargos directivos y coordinadores de área. Entre la información filtrada: nombres completos, DNI, números de teléfono, direcciones de domicilio y contraseñas vinculadas a cuentas de correo electrónico (The Objective, 25 Feb 2026).

Como perito informático forense, este caso me resulta especialmente significativo. No solo por la naturaleza de los datos expuestos, sino por lo que revela sobre una realidad incómoda: si el organismo encargado de la ciberseguridad nacional es vulnerable al doxing, cualquier organización lo es. El ataque plantea preguntas urgentes sobre la protección de datos personales de funcionarios públicos, el origen real de la información filtrada y las medidas que cualquier profesional puede tomar para minimizar su exposición.

TL;DR - Resumen ejecutivo

En 60 segundos:

  • Víctima: INCIBE (Instituto Nacional de Ciberseguridad), organismo estatal de referencia en ciberseguridad
  • Atacantes: Grupo “Police-ESP-Doxed”, publicaron datos en foros especializados durante varios días
  • Afectados: ~10 empleados, incluyendo directivos como Marcos Gómez Hidalgo (2 ataques separados)
  • Datos filtrados: Nombres, DNI, emails, teléfonos, domicilios, contraseñas vinculadas a email
  • Posible origen: Brechas de datos previas masivas (credential stuffing), no necesariamente una intrusión directa en INCIBE
  • Investigación: A cargo del CCN (Centro Criptológico Nacional), dependiente del CNI
  • Marco legal: Arts. 197-199 del Código Penal (revelación de secretos), RGPD/LOPDGDD

Consulta pericial gratuita →

Qué ha pasado: cronología del ataque al INCIBE

El ataque de doxing contra el INCIBE no fue un evento puntual, sino una operación que se desarrolló a lo largo de varios días en febrero de 2026. El grupo Police-ESP-Doxed publicó los datos en foros especializados de forma escalonada, lo que sugiere una estrategia deliberada de máximo impacto mediático.

Cronología de los hechos

FechaHecho
Febrero 2026Police-ESP-Doxed publica los primeros datos de empleados del INCIBE en foros especializados
Días posterioresSe publican datos adicionales de forma escalonada; al menos ~10 empleados afectados
Marcos Gómez HidalgoEl directivo sufre dos ataques separados de doxing, con publicación de datos personales en ambos
InvestigaciónEl CCN (Centro Criptológico Nacional), dependiente del CNI, asume la investigación del incidente
25 Feb 2026Medios como The Objective y RedesZone publican la noticia; expertos de seguridad analizan las filtraciones

La información publicada incluía datos extraordinariamente sensibles: no solo nombres y correos electrónicos corporativos, sino también documentos nacionales de identidad, números de teléfono personales, direcciones de domicilio y, en algunos casos, contraseñas vinculadas a cuentas de correo electrónico (RedesZone, Feb 2026).

Dato clave: algunos nombres ya no trabajaban en INCIBE

Varios de los empleados listados en la filtración habían dejado el INCIBE desde 2024. Esto es un indicio relevante para determinar el origen de los datos: si la información no está actualizada, es más probable que provenga de una brecha de datos anterior y no de una intrusión directa en los sistemas actuales del organismo (elhacker.net, Feb 2026).

Quiénes son Police-ESP-Doxed

El grupo Police-ESP-Doxed es un actor relativamente reciente en la escena del doxing en España. Su nombre sugiere un enfoque dirigido contra instituciones gubernamentales y fuerzas de seguridad españolas. La publicación de datos en foros especializados durante varios días indica un modus operandi calculado: maximizar la visibilidad y el daño reputacional con publicaciones escalonadas.

Hasta la fecha, la información disponible sobre el grupo es limitada:

  • Motivación: No se ha reivindicado una motivación política, económica o hacktivista concreta. El patrón de atacar instituciones de seguridad del Estado sugiere una combinación de motivación ideológica y búsqueda de notoriedad.
  • Capacidad técnica: Los expertos en seguridad consultados por diversos medios apuntan a que las contraseñas filtradas podrían provenir de compilaciones de brechas masivas anteriores (combolists), no necesariamente de un ataque sofisticado contra la infraestructura del INCIBE (elhacker.net, Feb 2026).
  • Precedentes: El doxing a funcionarios públicos y fuerzas de seguridad es una tendencia creciente en Europa. En 2024, la Europol alertó sobre el incremento de ataques de doxing dirigidos a personal de seguridad nacional en varios países miembros.

Datos expuestos y riesgos asociados

La naturaleza de los datos filtrados convierte este incidente en un riesgo de seguridad que va mucho más allá de la mera exposición de información personal. Cada tipo de dato expuesto abre vectores de ataque específicos.

Tipo de dato expuestoRiesgo asociadoSeveridad
Nombres y apellidosIdentificación de empleados de seguridad nacional; suplantación de identidadAlta
DNIFraude de identidad, contratación fraudulenta, acceso a servicios bancarios y administrativosMuy alta
Correos electrónicosSpear phishing dirigido, ataques de ingeniería social personalizadosAlta
Números de teléfonoVishing (phishing telefónico), SIM swapping, acoso personalAlta
DomiciliosSeguridad física comprometida; intimidación, vigilancia, amenazas directasMuy alta
Contraseñas vinculadas a emailAcceso a cuentas personales y potencialmente corporativas si hay reutilización de contraseñas (credential stuffing)Crítica
Riesgo combinado: la amenaza real del doxing a funcionarios

El mayor riesgo no está en cada dato por separado, sino en su combinación. Un atacante con nombre, DNI, teléfono, domicilio y contraseñas de un directivo de ciberseguridad puede ejecutar desde suplantación de identidad completa hasta amenazas de seguridad física. En el caso de funcionarios vinculados a la lucha contra el cibercrimen, el doxing puede tener implicaciones directas para su integridad personal y la de sus familias.

Análisis forense: de dónde podrían provenir los datos

Una de las cuestiones clave de este incidente es determinar si los datos provienen de una intrusión directa en los sistemas del INCIBE o de fuentes alternativas. Los indicios disponibles apuntan a esta segunda hipótesis.

Hipótesis 1: compilación de brechas previas (credential stuffing)

Expertos de seguridad han señalado que las contraseñas publicadas podrían proceder de brechas de datos masivas anteriores. Cuando un servicio sufre una filtración (LinkedIn 2012, Adobe 2013, Collection #1-5 en 2019, o cualquiera de las miles de brechas documentadas), las credenciales acaban en compilaciones que circulan en foros underground. Si un empleado del INCIBE reutilizó una contraseña personal en un servicio que sufrió una brecha, esa contraseña queda expuesta y vinculada a su email (elhacker.net, Feb 2026).

Indicios que apoyan esta hipótesis:

  • Las contraseñas están vinculadas a “cuentas de email”, no a sistemas internos del INCIBE
  • Algunos nombres listados ya no trabajaban en INCIBE desde 2024
  • El grupo no ha presentado pruebas de acceso a sistemas internos

Hipótesis 2: ingeniería social o fuente interna

No puede descartarse que parte de la información (especialmente domicilios y DNI) provenga de fuentes complementarias: registros públicos, redes sociales, documentos filtrados de otras administraciones o incluso ingeniería social directa contra empleados o proveedores.

Hipótesis 3: intrusión directa en sistemas del INCIBE

Aunque es la hipótesis menos respaldada por los indicios disponibles, no puede excluirse completamente hasta que el CCN concluya su investigación. Una intrusión directa implicaría un fallo de seguridad grave en la infraestructura del propio organismo.

Lo que sabemos de la investigación

El Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), ha asumido la investigación del incidente. El CCN es el organismo responsable de la ciberseguridad de las administraciones públicas españolas y tiene capacidad para realizar análisis forense de infraestructuras gubernamentales (La Nueva Crónica, Feb 2026).

Implicaciones legales en España

El doxing no es un delito tipificado como tal en el Código Penal español, pero las conductas que lo integran encajan en varios tipos penales y normas de protección de datos.

Marco penal: artículos 197 a 199 del Código Penal

ArtículoConducta tipificadaPena
Art. 197.1 CPApoderamiento de documentos, emails, datos reservados de otra persona para descubrir secretos o vulnerar su intimidadPrisión 1-4 años y multa 12-24 meses
Art. 197.2 CPAcceso, modificación o uso de datos personales en ficheros informáticos en perjuicio del titularPrisión 1-4 años y multa 12-24 meses
Art. 197.3 CPDifusión, revelación o cesión a terceros de los datos obtenidos de forma ilícitaPrisión 2-5 años (agravante)
Art. 197.4 bis CPDifusión de imágenes o grabaciones íntimas obtenidas con consentimiento pero difundidas sin élPrisión 3 meses-1 año o multa 6-12 meses
Art. 198 CPAutoridad o funcionario que cometa estos delitosInhabilitación absoluta 6-12 años
Art. 199 CPRevelación de secretos ajenos conocidos por razón del oficio o relaciones laboralesPrisión 1-3 años y multa 6-12 meses

El artículo 197.3 del Código Penal es el más relevante para este caso: la difusión de datos personales obtenidos ilícitamente conlleva una pena agravada de 2 a 5 años de prisión. Si se demuestra que los datos fueron obtenidos mediante intrusión informática (art. 197.2), las penas se acumulan.

Normativa de protección de datos: RGPD y LOPDGDD

Desde la perspectiva de protección de datos, el incidente activa obligaciones específicas:

  • Notificación a la AEPD: El RGPD (art. 33) obliga a notificar una brecha de datos personales a la autoridad de control en un plazo máximo de 72 horas desde su conocimiento.
  • Comunicación a los afectados: Si la brecha entraña un alto riesgo para los derechos y libertades de las personas físicas (art. 34 RGPD), el responsable debe comunicar la brecha directamente a los afectados.
  • Evaluación del riesgo: La combinación de DNI, domicilio, teléfono y contraseñas constituye, sin duda, un “alto riesgo” conforme a las directrices del EDPB (European Data Protection Board).
Doxing a funcionarios: agravante penal

Cuando el doxing se dirige contra funcionarios públicos en el ejercicio de sus funciones, especialmente en ámbitos de seguridad nacional, los tribunales españoles tienden a aplicar las penas en su mitad superior. Además, si los datos expuestos comprometen la seguridad del Estado o de investigaciones en curso, podrían concurrir otros tipos penales como el art. 598 CP (revelación de información relativa a la seguridad nacional).

Cómo protegerse ante un ataque de doxing

Tanto si eres funcionario público como profesional del sector privado, el ataque al INCIBE es un recordatorio de que cualquier persona puede ser objetivo de doxing. Estas son las medidas concretas que puedes implementar.

  1. Audita tu huella digital. Busca tu nombre, email y teléfono en motores de búsqueda, redes sociales y servicios como HaveIBeenPwned.com. Identifica qué información personal tuya es accesible públicamente y solicita su retirada donde sea posible (derecho de supresión, art. 17 RGPD).

  2. Usa contraseñas únicas y un gestor de contraseñas. La reutilización de contraseñas es el vector más probable de este ataque. Utiliza un gestor de contraseñas (Bitwarden, 1Password, KeePass) para generar contraseñas únicas de al menos 16 caracteres para cada servicio. Nunca reutilices la contraseña del correo corporativo en servicios personales.

  3. Activa la autenticación de dos factores (2FA) en todas las cuentas. Preferiblemente con llave de seguridad física (YubiKey, FIDO2) o aplicación TOTP (Google Authenticator, Authy). Evita el 2FA por SMS, que es vulnerable a SIM swapping.

  4. Separa tu identidad profesional de la personal. Usa direcciones de email distintas para el ámbito laboral y personal. No vincules tu teléfono personal a cuentas corporativas. Si eres funcionario de seguridad, considera usar un número de teléfono secundario para registros online.

  5. Monitoriza brechas de datos que te afecten. Regístrate en servicios de alertas como HaveIBeenPwned, Firefox Monitor o el servicio de monitorización de tu gestor de contraseñas. Cuando aparezca una brecha que incluya tu email, cambia la contraseña del servicio afectado y de cualquier otro donde la hayas reutilizado.

  6. Minimiza la información en registros públicos. Revisa qué datos personales aparecen en directorios profesionales, colegios profesionales, registros mercantiles y perfiles de redes sociales. La dirección de domicilio y el DNI nunca deben ser públicamente accesibles salvo obligación legal.

  7. Si eres víctima: documenta y denuncia. Captura pantallazos con marca de tiempo de toda la información publicada. Presenta denuncia ante la Policía Nacional (Brigada de Investigación Tecnológica) o Guardia Civil (GDT). Notifica a la AEPD si procede. Un perito informático forense puede certificar la evidencia para su validez judicial.

El papel del perito informático ante un caso de doxing

El doxing genera necesidades periciales específicas que un perito informático forense puede cubrir de forma integral.

En la fase de investigación

Un perito puede determinar el alcance real de la exposición: qué datos se han publicado, en qué foros, durante cuánto tiempo y con qué difusión. Mediante técnicas de OSINT (Open Source Intelligence) y análisis forense digital, es posible rastrear el origen probable de los datos, identificar si provienen de brechas anteriores y evaluar si los sistemas del afectado han sido directamente comprometidos.

El informe pericial certifica las evidencias con hash criptográfico y cadena de custodia, garantizando su validez ante tribunales y ante la AEPD. Esto incluye: capturas certificadas de las publicaciones con los datos expuestos, análisis de los metadatos de los archivos filtrados, correlación con brechas de datos conocidas y evaluación del impacto en la privacidad de los afectados.

En la fase de mitigación

Un perito puede auditar las cuentas y dispositivos del afectado para verificar que no existe un compromiso activo, recomendar medidas de hardening específicas y monitorizar la difusión posterior de los datos filtrados en la dark web y foros underground.

¿Eres víctima de doxing o una brecha de datos?

Investigación forense del alcance de la exposición, certificación de evidencias con validez judicial y plan de mitigación personalizado. Primera consulta gratuita y confidencial.

Solicitar consulta gratuita

Preguntas frecuentes

¿Es delito el doxing en España?

El doxing como tal no aparece tipificado con ese nombre en el Código Penal español, pero las conductas que lo integran sí constituyen delitos. La obtención ilícita de datos personales está penada por el artículo 197 del Código Penal con prisión de 1 a 4 años. La difusión posterior de esos datos (art. 197.3 CP) agrava la pena hasta 2-5 años de prisión. Si los datos se obtuvieron mediante acceso no autorizado a sistemas informáticos, se suma el tipo del art. 197.2 CP. Además, el responsable puede enfrentarse a sanciones administrativas por infracción del RGPD y la LOPDGDD, con multas de hasta 20 millones de euros o el 4% de la facturación anual.

¿Cómo puedo saber si mis datos han sido filtrados en una brecha?

El primer paso es consultar servicios como HaveIBeenPwned.com, que recopila las principales brechas de datos conocidas y permite buscar por dirección de email. También puedes usar Firefox Monitor o la función de verificación de contraseñas comprometidas integrada en gestores como Bitwarden o 1Password. Si sospechas que tus datos personales (DNI, domicilio, teléfono) han sido expuestos en foros underground, un perito informático forense puede realizar una investigación OSINT en la dark web para determinar el alcance real de la exposición y certificar las evidencias para su uso judicial.

¿Qué hago si publican mis datos personales en internet sin mi consentimiento?

Actúa con rapidez siguiendo este orden: (1) documenta todas las publicaciones con capturas de pantalla que incluyan fecha y URL; (2) solicita la retirada del contenido al administrador del sitio web o foro; (3) presenta una denuncia ante la Policía Nacional (Brigada de Investigación Tecnológica) o la Guardia Civil (Grupo de Delitos Telemáticos); (4) notifica a la AEPD si consideras que se ha vulnerado tu derecho a la protección de datos; (5) contacta con un perito informático forense para certificar las evidencias con validez judicial antes de que sean eliminadas. El tiempo es crítico porque los atacantes pueden borrar las publicaciones y perderías la prueba.

Fuentes y referencias

  1. The Objective (2026). “Hackean los teléfonos y domicilios de los altos cargos de la ciberseguridad del Estado”. 25 Feb 2026. https://theobjective.com/espana/2026-02-25/hackeo-telefono-domicilios-ciberseguridad-estado/

  2. elhacker.net (2026). “Todos los datos de altos cargos del INCIBE filtrados”. Feb 2026. https://blog.elhacker.net/2026/02/todos-los-datos-de-altos-cargos-del.html

  3. La Nueva Crónica (2026). “INCIBE es víctima de un ciberataque que revela información personal de parte de su plantilla”. Feb 2026. https://www.lanuevacronica.com/actualidad/incibe-es-victima-ciberataque-revela-informacion-personal-parte-su-plantilla_191785_102.html

  4. RedesZone (2026). “Datos de altos cargos del INCIBE expuestos tras hackeo”. Feb 2026. https://www.redeszone.net/noticias/seguridad/datos-altos-cargos-incibe-hackeo/

  5. Código Penal español. Artículos 197-199 (Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio). https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444

  6. Reglamento (UE) 2016/679 (RGPD). Artículos 33 y 34 (Notificación de brechas de datos personales). https://eur-lex.europa.eu/eli/reg/2016/679/oj

  7. INCIBE - Instituto Nacional de Ciberseguridad. https://www.incibe.es/

  8. HaveIBeenPwned - Servicio de verificación de brechas de datos. https://haveibeenpwned.com/

  9. CCN-CERT - Centro Criptológico Nacional. https://www.ccn-cert.cni.es/

  10. Europol (2024). Internet Organised Crime Threat Assessment (IOCTA). https://www.europol.europa.eu/publications-events/main-reports/internet-organised-crime-threat-assessment-iocta

Sobre el autor: Jonathan Izquierdo es perito informático forense con más de 10 años de experiencia en análisis de evidencias digitales y protección de datos. Ex-CTO y 5x AWS Certified, aplica metodología ISO 27037 en todas sus investigaciones periciales.

Última actualización: Febrero 2026.

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Noticias seguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp