La agencia gubernamental británica Companies House, responsable del registro oficial de empresas en el Reino Unido, ha restablecido su servicio WebFiling tras permanecer fuera de servicio desde el pasado viernes debido a una grave vulnerabilidad de seguridad. El fallo, que habría estado activo durante al menos cinco meses, expuso información sensible de millones de compañías registradas en el país.

La incidencia, detectada y reportada públicamente por Dan Neidle, fundador de la organización Tax Policy Associates, pone de nuevo en el foco la fragilidad de los sistemas digitales en infraestructuras críticas del sector público.

Un acceso inesperadamente sencillo

Según detalló Neidle, el fallo no requería habilidades avanzadas ni explotación sofisticada. Bastaba con iniciar sesión en el sistema WebFiling con credenciales propias y navegar a la opción “file for another company” (presentar documentos para otra empresa).

En ese punto, el sistema solicitaba un código de autenticación que el usuario no tenía. Sin embargo, al retroceder en el navegador, el panel de control ya no correspondía a la empresa original, sino a la compañía objetivo. Este comportamiento anómalo abría la puerta a acceder a información confidencial sin autorización.

El descubrimiento inicial fue realizado por John Hewitt, de Ghost Mail, quien alertó del problema sin obtener respuesta inmediata por parte de la agencia, lo que llevó a Neidle a hacerlo público.

Datos sensibles expuestos durante meses

La magnitud del fallo es significativa: alrededor de cinco millones de empresas podrían haber visto comprometidos ciertos datos no públicos. Entre la información potencialmente expuesta se incluyen: direcciones residenciales de directivos, fechas de nacimiento, direcciones de correo electrónico corporativas y otros datos internos no disponibles en el registro público.

Este tipo de información, aunque no incluye credenciales de acceso ni datos de verificación como pasaportes, representa un riesgo considerable en términos de ingeniería social, fraude corporativo y suplantación de identidad.

Origen del fallo: una actualización defectuosa

La raíz del problema se encuentra en una actualización del sistema WebFiling implementada en octubre de 2025. Este tipo de errores, derivados de cambios en la lógica de sesión o control de acceso, son relativamente comunes en aplicaciones web complejas, pero su impacto en este caso ha sido especialmente amplio debido al volumen de datos gestionados.

El incidente evidencia una posible debilidad en los procesos de pruebas de seguridad y validación tras despliegues, especialmente en entornos gubernamentales donde la superficie de ataque es crítica.

Más allá de la exposición de datos, el fallo también habría permitido realizar ciertas acciones no autorizadas dentro de los perfiles de empresa. Según la propia Companies House, los usuarios podrían haber llegado a presentar documentos en nombre de otras empresas, modificar detalles de directivos o introducir cambios en registros corporativos.

No obstante, la agencia subraya que los documentos ya presentados, como cuentas anuales o declaraciones oficiales, no podían ser alterados mediante esta vulnerabilidad.

Investigación en curso y notificación a autoridades

Tras identificar el problema, Companies House decidió suspender temporalmente el servicio para aplicar correcciones. Posteriormente, notificó el incidente a organismos clave como: Information Commissioner’s Office (ICO), autoridad británica de protección de datos y el National Cyber Security Centre (NCSC), responsable de la ciberseguridad nacional.

Por el momento, la agencia asegura no tener evidencias de explotación activa del fallo, es decir, no hay confirmación de accesos indebidos ni modificaciones maliciosas en los registros. Sin embargo, la investigación sigue abierta.

Un riesgo estructural en los sistemas públicos

El caso de Companies House se suma a una tendencia creciente de incidentes de ciberseguridad que afectan a organismos públicos y registros críticos. Estos sistemas, que gestionan información sensible a gran escala, se convierten en objetivos prioritarios para actores maliciosos.

Aunque el fallo requería que el atacante estuviera autenticado en la plataforma, esto no reduce significativamente el riesgo, ya que la creación de cuentas en servicios públicos suele ser un proceso accesible.

Desde una perspectiva técnica, el incidente apunta a un fallo en el control de sesiones y autorización, posiblemente relacionado con una incorrecta validación del contexto del usuario tras cambios de navegación.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre