Un ataque de doxing expone teléfonos, domicilios, DNI y contraseñas de altos cargos de INCIBE. Mientras los ciberataques crecen un 26% en 2025, la pregunta es inevitable: si no pueden protegerse a sí mismos, ¿cómo protegen al resto?
La paradoja de la ciberseguridad
El Instituto Nacional de Ciberseguridad (INCIBE) es una de las principales herramientas del Estado para blindar a la Administración y a las empresas frente a ciberataques. Ironías del destino: en este caso, el protector se ha convertido en víctima.
Un ataque de doxing —la revelación pública de información privada obtenida ilícitamente— ha expuesto datos sensibles de una decena de trabajadores del organismo, incluidos cargos directivos como su propio director. Nombres, apellidos, correos electrónicos, DNI, teléfonos y hasta contraseñas han aparecido en foros especializados, firmados por un grupo que se hace llamar 'Police-ESP-Doxed'.
¿Qué dice de nuestra seguridad digital que quienes deben defenderla sean los primeros en caer?
Lo que se filtró y lo que significa
Entre la información publicada figuran números de teléfono, direcciones de email, DNIs y domicilios físicos. Pero lo más grave son las contraseñas vinculadas a esos correos. Los expertos que ya analizan el caso barajan que la fuente podría ser un ataque masivo anterior, cuyos datos se han reciclado ahora para este doxing.
Algunos de los nombres corresponden a personas que ya no trabajan en INCIBE desde 2024, lo que indica que el listado no está totalmente actualizado. Pero la mayoría sí son empleados en activo, con perfiles de gerencia y coordinación de áreas. Y uno de los afectados, el director Marcos Gómez Hidalgo, ya había sido víctima de un ataque similar días antes, en el que también se expuso su dirección física y la ubicación de su despacho.
No es solo una filtración: es un mensaje.
La respuesta institucional: silenciosa y en modo investigación
El incidente ha sido comunicado al Centro Criptológico Nacional (CCN), dependiente del CNI, el mismo organismo que actuó en el espionaje con Pegasus al móvil del presidente del Gobierno. La investigación está en marcha, pero las preguntas se acumulan: ¿cómo se produjo la brecha? ¿Qué sistemas se vieron comprometidos? ¿Hay riesgo de que esta información se use para ataques de ingeniería social o suplantación de identidad?
INCIBE, a través de su equipo INCIBE-CERT, detectó en 2025 más de 237.000 sistemas vulnerables susceptibles de ser explotados. Pero detectar vulnerabilidades ajenas no equivale a blindar las propias. Y cuando el eslabón más fuerte de la cadena muestra grietas, la confianza del sistema se resiente.
El contexto: un año negro para la ciberseguridad
2025 cerró con 122.223 incidentes de ciberseguridad gestionados por INCIBE, un 26% más que el año anterior. Los ataques con malware superaron los 55.000 casos, incluyendo ransomware que cifra datos para exigir rescates. El fraude online representó cuatro de cada diez incidentes, con el phishing como técnica estrella.
Los operadores esenciales —banca, transporte, energía, mercados financieros— concentraron la mayor parte de los ataques. Los ciberdelincuentes no disparan al azar: van a por lo que duele, a lo que paraliza, a lo que genera beneficio. Y en este escenario, la exposición de datos de quienes deben coordinar la defensa no es un detalle menor.
Si el mapa cae en manos del enemigo, ¿quién guía la resistencia?
Más allá del incidente: la cultura de la seguridad
Este doxing no es un fallo técnico aislado. Es un síntoma. La ciberseguridad no se construye solo con firewalls y protocolos: requiere una cultura organizacional que anticipe riesgos, forme a las personas y asuma que ningún sistema es inexpugnable.
La presencia de contraseñas en la filtración sugiere que, en algún punto de la cadena, se reutilizaron credenciales o se almacenaron de forma insegura. Prácticas que, en el ámbito de la ciberseguridad estatal, deberían ser inaceptables. Y sin embargo, ocurren.
La lección no es que INCIBE haya fallado. La lección es que nadie está a salvo si no se asume que la amenaza es constante, evolutiva y personal. Los ciberdelincuentes no atacan solo máquinas: atacan a las personas que las gestionan.
La dirección del ataque
Que un grupo se firme como 'Police-ESP-Doxed' no es casual. Busca generar desconfianza, cuestionar la autoridad, sembrar la duda sobre quién controla qué. En el terreno de la ciberseguridad, la percepción es tan importante como la técnica.
España ha reforzado su marco normativo con la directiva NIS2, ha invertido en capacidades de respuesta y ha creado estructuras de coordinación. Pero la tecnología avanza más rápido que la regulación, y los atacantes no esperan a que las leyes se actualicen.
Mientras el CCN investiga, la ciudadanía se pregunta: ¿están preparados nuestros defensores digitales para lo que viene? Porque si 2025 fue un año de crecimiento en ataques, 2026 no pinta más tranquilo.
© SOS RADIO ESPAÑA — www.sosradioespaña.es