LISA Challenge: Cyber Mission #1
Reto: Los participantes de este LISA Challenge LISA Challenge presentaron un informe en el que analizaron un ciberataque o campaña de desinformación con gran impacto en la Seguridad Nacional de un país.
- Los ganadores se anunciarán durante la Masterclass OSINT aplicado a la investigación de ciberdelincuentes: herramientas, técnicas y casos reales impartida por Eduardo Sánchez Toril, CEO de AllPentesting y referente en hacking ético. Durante la sesión, Eduardo compartirá experiencias reales y conocimientos clave para mejorar tu labor investigadora en ciberseguridad.
Título: Ciberamenaza en las Fuerzas del Orden: Impacto del robo masivo de datos sensibles a la Policía Nacional
Autor: Jesús Cantu. Físico aplicado, experto en innovación tecnológica y candidato al Máster en Ciberseguridad, Ciberinteligencia y Ciberdefensa de LISA Institute. Con más de 18 años de experiencia internacional en investigación y desarrollo, ha impulsado y liderado el diseño de sistemas inteligentes orientados a apoyar la toma de decisiones estratégicas, utilizando inteligencia artificial, optimización matemática y análisis avanzado de datos. Ha colaborado con empresas y gobiernos, con el firme compromiso de aplicar el conocimiento y la tecnología para construir una sociedad mejor y más segura.
Resumen
En abril de 2025 se hizo público un robo masivo de datos personales que por lo menos afectó a unos 130,000 agentes de la Policía Nacional de España. La información sustraída incluía nombres, direcciones, teléfonos, correos electrónicos, especialidades y destinos de los agentes. Esto representa un riesgo directo para su integridad física y operativa, especialmente en un contexto donde España enfrenta amenazas del crimen organizado y del ciber espionaje extranjero.
El incidente fue denunciado por sindicatos policiales, quienes exigieron una investigación urgente y medidas de protección para el personal afectado. Poco después, surgieron informes que vinculaban el ataque a grupos criminales peligrosos con ramificaciones internacionales, algunos con conexiones previas a actividades en América Latina.
Aunque los detalles técnicos del ataque no han sido publicados oficialmente, las evidencias OSINT sugieren una extracción planificada de datos mediante acceso indebido a bases de datos institucionales. El caso plantea preguntas críticas sobre la gestión de datos sensibles por parte de organismos públicos y expone debilidades estructurales en los sistemas de protección de información en sectores estratégicos.
Este informe presenta un análisis OSINT integral del incidente, identificando actores, técnicas, impactos y riesgos, y propone medidas concretas de mitigación para evitar que incidentes similares se repitan en el futuro.
Introducción
El robo de datos de 130,000 agentes de la Policía Nacional, revelado públicamente en abril de 2025, constituye una violación sin precedentes a la seguridad de las fuerzas del orden españolas. Más allá del volumen, el tipo de información expuesta convierte este incidente en una amenaza a la seguridad nacional.
Este suceso se da en un contexto europeo de creciente actividad de ciberataques contra infraestructura crítica, con señales claras de campañas de espionaje e infiltración en sectores públicos. La falta de blindaje informático en los sistemas de gestión de personal en cuerpos de seguridad como la Policía Nacional pone en evidencia la vulnerabilidad estructural del Estado frente a actores avanzados y bien financiados.
Actores involucrados
El hacker José Luis Huertas Rubio, alias Alcasec, de apenas 21 años, es señalado por la Comisaría General de Información como autor de una de las filtraciones de datos más graves que ha sufrido el Estado español. Desde 2021, habría mantenido contacto directo y sostenido con al menos dos bandas criminales altamente peligrosas: los Miami y el clan del Niño Skin, a quienes vendió datos policiales sensibles.
Los principales afectados son los agentes activos y retirados de la Policía Nacional, además de sus familias. La filtración incluye información personal y operativa que puede ser explotada para vigilancia, chantaje o agresiones dirigidas.
Los datos podrían beneficiar tanto a grupos del crimen organizado como a agencias extranjeras de inteligencia, interesadas en conocer el despliegue operativo de cuerpos de seguridad. También podrían ser usados con fines de desestabilización interna, afectando la moral institucional y la percepción pública.
Metodología del ataque o campaña
Si bien no se ha confirmado oficialmente el vector de ataque, se manejan hipótesis de accesos internos no autorizados o vulnerabilidades en sistemas de gestión de personal. También es posible que se haya aprovechado ingeniería social o técnicas de phishing para acceder con credenciales legítimas.
Los datos parecen haber sido extraídos desde sistemas institucionales de la Policía Nacional. Posteriormente, se dice que han circulado fragmentos de información en foros clandestinos, canales de Telegram y redes sociales.
Cronología de eventos
- Marzo 2025: Primeras señales internas del incidente.
- 31 de marzo: Medios reportan que el ataque ya había sido detectado por sindicatos policiales.
- 1-2 de abril: Se difunde masivamente en medios y redes. Algunas organizaciones criminales intentan ofrecer los datos en plataformas clandestinas.
Impacto del caso
El impacto nacional del robo de datos ha sido profundo. En primer lugar, se produjo una exposición masiva de información sensible perteneciente a una de las principales fuerzas de seguridad del Estado, algo que no tiene precedentes recientes en España. La naturaleza de los datos filtrados pone en riesgo directo la integridad física de miles de agentes, especialmente aquellos que participan en tareas encubiertas, de inteligencia o en operaciones contra el crimen organizado.
Este incidente también ha desatado una crisis institucional, generando una fuerte crítica pública y política sobre la falta de medidas adecuadas para proteger la información crítica dentro de las estructuras del Estado. La ciudadanía y los medios han puesto en duda la capacidad del Gobierno y del Ministerio del Interior para garantizar la seguridad digital de sus funcionarios.
A nivel internacional, el caso no ha pasado desapercibido. Organismos como Interpol y Europol han sido alertados, ya que la filtración podría tener implicaciones más allá del territorio español. Existe un riesgo real de que esta base de datos sea utilizada con fines de desinformación, infiltración o vigilancia dirigida, especialmente si cae en manos de actores hostiles o potencias extranjeras interesadas en debilitar las capacidades de seguridad de España.
Evidencias obtenidas mediante OSINT/SOCMINT
Se dice que la Policía ha presentado chats cifrados interceptados como prueba de la colaboración entre el hacker y los grupos criminales, en donde estos solicitaban información de policías y guardias civiles que los investigaban.
Sin embargo, dentro de las capacidades técnicas de nuestro análisis, no logramos tener acceso a esa evidencia.
Apartado técnico
El análisis de este caso se apoyó exclusivamente en el uso de herramientas OSINT de acceso público y sencillo, para recopilar evidencias relevantes y construir hipótesis bien fundamentadas. Por falta de accesibilidad, no fue posible utilizar software especializado o técnicas intrusivas, por lo que se emplearon recursos como motores de búsqueda, redes sociales y archivos digitales, disponibles para cualquier persona o analista.
Se realizaron búsquedas sistemáticas en Google, Mozilla y Bing, combinando términos clave como “datos Policía Nacional filtrados” o “leak Policía España 2025”, lo que permitió identificar rápidamente las noticias más relevantes, comunicados oficiales y primeras reacciones en redes.
Finalmente, es importante reconocer las limitaciones técnicas a este tipo de análisis. No se tuvo acceso a los sistemas comprometidos ni a los archivos originales, por lo que no fue posible validar de forma independiente la autenticidad o integridad del contenido filtrado. Aun así, las evidencias recopiladas en fuentes abiertas permiten sostener con suficiente solidez que el incidente fue real, masivo y con implicaciones de alto riesgo para la seguridad institucional.
Conclusiones
El caso del robo masivo de datos de la Policía Nacional no es un incidente aislado ni menor. Se trata de una manifestación clara de un fallo estructural en la protección de información crítica dentro de las instituciones del Estado. Que un volumen tan grande de datos sensibles haya sido sustraído sin detección oportuna y, posteriormente, difundido en plataformas públicas y clandestinas, evidencia debilidades en los controles técnicos, en la gestión de accesos y en la cultura interna de ciberseguridad.
El tipo de datos filtrados convierte este incidente en uno de los más graves registrados en la historia reciente del país. No solo compromete la seguridad personal de los agentes y sus familias, sino que también afecta la confianza en las instituciones encargadas de protegernos.
Además, todo indica que este no fue un ataque oportunista, sino una campaña organizada, probablemente planificada por actores con motivación política, criminal o incluso estratégica. Las evidencias recopiladas en fuentes abiertas muestran patrones de comportamiento que podrían repetirse si no se toman medidas urgentes.
Finalmente, preocupa la falta de una reacción rápida y clara por parte de las autoridades. La respuesta institucional, en lugar de contener la crisis, pareció agravada por la poca transparencia y la demora en comunicar los hechos. Esta gestión deficiente del incidente aumentó la sensación de desprotección y vulnerabilidad, tanto dentro de los cuerpos de seguridad como entre la opinión pública.
Propuestas de actuación y mitigación
Este caso demuestra que el Estado necesita reforzar de forma urgente la protección de datos sensibles, especialmente en áreas clave como la seguridad pública. Es clave contar con una entidad especializada que supervise los sistemas, establezca estándares y coordine respuestas ante incidentes graves. Además, debe existir un protocolo de notificación pública obligatoria cuando ocurra un ciberataque institucional. Informar con rapidez y transparencia fortalece la confianza ciudadana y mejora la capacidad de respuesta.
En los cuerpos policiales, se deben aplicar reglas estrictas de acceso a la información: cada persona solo debería ver lo que realmente necesita. También es esencial usar autenticación multi factor, segmentar redes y monitorear accesos de forma constante. Además, todo el personal técnico y/o operativo, debe recibir formación continua en ciberseguridad.
Finalmente, tanto la ciudadanía como los medios deben actuar con responsabilidad: no compartir filtraciones ni ayudar a que se difundan. Exigir transparencia al Estado es válido, pero siempre con un enfoque que priorice la protección y la seguridad colectiva.
