La ciberseguridad contemporánea no solo se libra en el terreno de los servidores, los cortafuegos y las líneas de código; también se disputa, cada vez con mayor fiereza, en el campo de batalla de la información. A finales del pasado mes de febrero de 2026, gran parte de la prensa y ciertos medios autodenominados «especializados» se hicieron eco de un titular que prometía un impacto mediático sin precedentes: un supuesto hackeo había expuesto los teléfonos, domicilios, documentos de identidad y contraseñas de altos cargos de la ciberseguridad del Estado español, pertenecientes al Instituto Nacional de Ciberseguridad (INCIBE). Fueron varias las cabeceras que no tardaron en publicar la noticia con un enfoque alarmista, dibujando un escenario donde el escudo digital del país y, por ende, el propio Centro Criptológico Nacional (CCN-CERT), parecían haber fracasado estrepitosamente ante el cibercrimen.
Sin embargo, cuando se disipa el humo del sensacionalismo y se analiza el incidente con el rigor técnico que exige nuestra profesión, la realidad es radicalmente distinta. Tras las investigaciones forenses y las comunicaciones oficiales del propio instituto, el veredicto es tajante: el INCIBE no ha sufrido ninguna brecha en sus sistemas corporativos ni ha sido víctima de un ciberataque estructural. Lo que verdaderamente ha ocurrido es un sofisticado ejercicio de manipulación de datos públicos conocido como doxing, ejecutado mediante Inteligencia de Fuentes Abiertas (OSINT) y el cruce de filtraciones masivas de terceros.
Para los directores gerentes y los responsables de Tecnologías de la Información del sector privado, este evento no debe leerse como una muestra de debilidad institucional, sino como una clase magistral sobre el actual modus operandi de los ciberdelincuentes. Cuando los atacantes no pueden derribar la puerta principal de una organización hiperprotegida, optan por atacar la identidad digital y personal de sus empleados en la esfera pública. En Bullhost consideramos vital diseccionar la verdadera anatomía de este incidente para extraer las lecciones que el tejido empresarial debe aplicar hoy mismo.
Anatomía del falso ataque y el poder de las fuentes abiertas
Para comprender la magnitud del engaño y el riesgo real que supone, debemos adentrarnos en cómo operan estos actores de amenazas. El incidente en cuestión se materializó cuando un grupo autodenominado «Police-ESP-Doxed» publicó en foros especializados información personal atribuida a una decena de empleados actuales y pasados del INCIBE, incluyendo a altos cargos directivos. El dossier filtrado contenía nombres completos, números de teléfono, Documentos Nacionales de Identidad (DNI), direcciones físicas y contraseñas vinculadas a correos electrónicos corporativos.
Cualquier observador inexperto concluiría de inmediato que esa información solo puede provenir de una intrusión profunda en los servidores de Recursos Humanos del instituto. Pero la anatomía de este ataque no requiere tocar un solo servidor del Estado. El doxing consiste en la recopilación, empaquetado y publicación maliciosa de información privada con el objetivo de intimidar, extorsionar o, como en este caso, dañar la reputación fingiendo un éxito operativo inexistente. Los ciberdelincuentes construyen estos perfiles mediante un trabajo de orfebrería digital, cruzando diversas fuentes externas completamente ajenas a la infraestructura de la víctima.
La materia prima de este ataque proviene, en primer lugar, de las brechas de datos históricas. A lo largo de la última década, miles de servicios online, desde foros de poca monta hasta gigantes del comercio electrónico, han sido vulnerados. Los cibercriminales utilizan inmensas bases de datos volcadas en la Dark Web para buscar direcciones de correo corporativas que los empleados hayan utilizado, a menudo de forma descuidada, para registrarse en servicios de terceros. A esto se suma el uso de malware de tipo infostealer (ladrón de información), que infecta ordenadores domésticos o dispositivos móviles personales extrayendo credenciales directamente de los navegadores web de las víctimas.
Pero la pieza clave que dota de aparente veracidad a este falso hackeo es la Inteligencia de Fuentes Abiertas (OSINT). Los atacantes rastrean metódicamente redes sociales, boletines oficiales del Estado, registros mercantiles y directorios públicos para correlacionar un nombre con un número de teléfono o un domicilio. Para contextualizar el océano de datos del que disponen, basta recordar el gigantesco incidente descubierto apenas un mes antes, en enero de 2026, cuando una base de datos desprotegida expuso más de 4.300 millones de registros profesionales y corporativos recopilados, en gran parte, de perfiles de LinkedIn. Con esta inmensidad de información accesible en la red, construir un dossier detallado sobre los directivos de cualquier ministerio, o del propio consejo de administración de una empresa, es solo cuestión de horas y de herramientas de automatización.
Como bien ha explicado el INCIBE para desmentir la crisis, es una táctica habitual que los cibercriminales mezclen datos reales provenientes de filtraciones antiguas con elementos desactualizados, incorrectos o meras inferencias lógicas. Luego, empaquetan este mosaico de información bajo el titular de «hackeo masivo» para maximizar el impacto psicológico.
El papel del periodismo frente a la desinformación cibernética
Llegados a este punto, es imprescindible realizar una profunda autocrítica sobre el papel de los medios de comunicación en el ecosistema tecnológico. La rapidez con la que se propagó el falso relato del hackeo al INCIBE ilustra una preocupante falta de rigor y de verificación de fuentes por parte de un sector del periodismo que prioriza el clickbait. Para un redactor en busca de tráfico web, afirmar que el Estado ha sido vulnerado y que la inteligencia nacional ha fallado resulta infinitamente más atractivo que explicar la tediosa realidad de la correlación de datos públicos.
Al difundir la información robada y amplificar las afirmaciones de los cibercriminales sin contrastarlas previamente con los organismos competentes, estos medios no solo desinforman a la sociedad, sino que actúan como altavoces voluntarios de los propios delincuentes. Alimentan el propósito malicioso de los atacantes, validan sus tácticas de extorsión y minan injustamente la confianza pública en una institución que absorbe y gestiona decenas de miles de ciberincidentes críticos cada año para mantener a flote la economía nacional.
La identidad digital como nuevo perímetro de riesgo empresarial
Aunque la brecha no provenga de la infraestructura de la corporación, el peligro que este tipo de doxing representa para el tejido empresarial es un riesgo absolutamente real. La identidad digital y personal de los directivos se ha convertido en el nuevo perímetro de seguridad de las empresas. Cuando la información de un alto cargo queda expuesta, se habilitan de inmediato vectores de ataque de ingeniería social de una precisión que puede resultar letal.
Si un ciberdelincuente dispone del DNI, el domicilio y el teléfono personal del director financiero de una empresa, orquestar lo que se conoce como «fraude del CEO» deja de ser un intento burdo para convertirse en una trampa con muchas posibilidades de éxito. Los atacantes pueden suplantar la identidad de este directivo contactando con proveedores o entidades bancarias, aportando detalles íntimos que dotan a la comunicación de una autenticidad para autorizar transferencias ilícitas. Asimismo, el conocimiento de domicilios y teléfonos habilita el vishing (fraude telefónico dirigido) y abre la puerta a la coerción física durante incidentes de ransomware, donde las bandas criminales buscan someter a una presión psicológica a los responsables de TI para forzar el pago de rescates.
Inteligencia artificial y Confianza Cero frente a la amenaza
Frente a esta amenaza asimétrica donde asumimos que las contraseñas y datos de nuestros empleados pueden circular libremente por la red debido a brechas de terceros, la defensa corporativa tradicional basada en muros perimetrales queda obsoleta. La única estrategia viable es el modelo Zero Trust (Confianza Cero). La infraestructura corporativa debe ser lo suficientemente inteligente como para detectar que, aunque un usuario introduzca la contraseña correcta de un directivo, el contexto de ese inicio de sesión es fraudulento.
Es en este terreno donde la adopción de tecnologías líderes en gestión de identidades marca la diferencia entre un mero susto y un desastre corporativo. Los ecosistemas modernos de defensa, como los impulsados por las soluciones de Microsoft, están diseñados precisamente para neutralizar el impacto del doxing.
Tal y como revela el Microsoft Digital Defense Report 2025, sus sistemas procesan y analizan más de 38 millones de detecciones de riesgo de identidad diariamente. Si la plataforma detecta en la Dark Web que la contraseña de un empleado ha sido publicada, eleva automáticamente su nivel de riesgo, bloqueando cualquier intento de acceso a los servidores de la empresa u obligando a una verificación multifactor infalsificable desde un dispositivo previamente autorizado. La inteligencia artificial actúa en milisegundos para invalidar el botín que los cibercriminales acaban de exponer.
Estrategia y resistencia de la mano de un aliado experto
Sin embargo, la tecnología más avanzada del mundo es inerte sin una estrategia humana y experta que la respalde y la adapte a la realidad operativa de cada negocio. Asumir la seguridad corporativa de forma aislada se ha convertido en una quimera en el entorno actual, por lo que las empresas necesitan un socio tecnológico que entienda la fotografía completa, que no ceda ante el alarmismo y que responda con metodología y arquitectura.
Esa es exactamente la misión que en Bullhost llevamos perfeccionando desde hace años. Nuestro equipo entiende que, mientras instituciones como el INCIBE hacen un trabajo impecable actuando como paraguas a nivel nacional, cada organización debe blindar sus propios procesos y proteger a sus personas.
Por eso acompañamos a la alta dirección mediante servicios de consultoría y CISO virtual, analizando preventivamente si las identidades de sus empleados ya están expuestas en fuentes abiertas y diseñando planes directores de seguridad que se alinean con las normativas europeas más exigentes. También implementamos infraestructuras de defensa apoyadas en tecnología puntera para proteger las identidades o desplegamos centros de operaciones que monitorizan redes IT y OT en tiempo real. Y, comprendiendo que la invulnerabilidad total es una ilusión, garantizamos la continuidad del negocio con infraestructuras en nube privada y copias de seguridad inmutables que aseguran que, ante el peor de los escenarios, una empresa nunca deje de operar.
El episodio de desinformación sobre el INCIBE debe marcar un punto de inflexión en nuestra forma de consumir noticias tecnológicas y, sobre todo, en cómo preparamos a nuestras compañías. La amenaza del doxing indiscriminado y la reutilización de datos es una realidad cotidiana, no una ficción de espías. El ataque es inevitable, pero el desastre no lo es. Aceptar que el perímetro se ha difuminado y proteger la identidad corporativa con herramientas de vanguardia y asesoramiento experto es la única garantía real para asegurar el futuro de un negocio.
