Elena Durán
Lo que sabemos hasta ahora
El 31 de enero de 2026, un ciberdelincuente bajo el alias HaciendaSec publicó en un foro de la dark web que había comprometido los sistemas del Ministerio de Hacienda de España. La alerta llegó a través de Hackmanac, una cuenta especializada en monitorizar brechas de datos.
No voy a endulzarlo: si la información es real, estamos ante la mayor brecha de datos en la historia de España.
Los datos supuestamente filtrados
Según el atacante, la base de datos incluye información de 47.3 millones de ciudadanos:
| Tipo de dato | Riesgo asociado |
|---|---|
| DNI/NIF | Suplantación de identidad |
| Nombres completos | Ingeniería social |
| Direcciones | Fraude postal, robos |
| Teléfonos | Vishing, SMS fraudulentos |
| Emails | Phishing dirigido |
| IBAN bancarios | Fraude bancario |
| Información fiscal | Extorsión, chantaje |
Mi veredicto es claro: si esto se confirma, cualquier español con declaración de la renta está potencialmente expuesto.
¿Es creíble la cifra de 47.3 millones?
Según el Instituto Nacional de Estadística, España tiene 49.4 millones de habitantes a octubre de 2025. De estos, unos 42 millones son ciudadanos españoles.
La cifra de 47.3 millones es técnicamente plausible si consideramos:
- Prácticamente toda la población adulta
- Residentes fiscales históricos (fallecidos, emigrados)
- Extranjeros con obligaciones fiscales en España
Sin embargo, hay motivos para dudar. HaciendaSec no tiene historial previo de ciberataques documentados. El perfil fue creado específicamente para este anuncio, lo que reduce su credibilidad.
La respuesta oficial de Hacienda
El Ministerio de Hacienda ha confirmado a varios medios que está "revisando la situación para comprobarlo". Fuentes del departamento de María Jesús Montero aseguran que están analizando el mensaje del presunto cibercriminal.
Estado actual: ni confirmación ni desmentido.
Si me preguntas directamente, esta ambigüedad es preocupante. Cuando las instituciones no desmienten rápidamente, suele haber algo detrás.
Precedentes: esto ya ha pasado antes
España no es nueva en ciberataques gubernamentales. Los datos son claros:
| Fecha | Organismo | Resultado |
|---|---|---|
| Oct 2022 | AEAT (Alcasec) | ✅ Confirmado - Hacker arrestado |
| Oct 2025 | AEAT (Qilin) | ❌ Desmentido por AEAT |
| Nov 2024 | AEAT (Trinity) | ⚠️ Empresa externa afectada |
| Mayo 2024 | DGT | ✅ 34 millones de conductores |
| Marzo 2021 | SEPE | ✅ 710 oficinas paralizadas |
El caso más relevante es el de Alcasec en 2022, donde un hacker español logró robar datos de 500.000 contribuyentes de la Agencia Tributaria. Fue arrestado posteriormente.
En el supuesto hackeo de Trinity en 2024, la investigación reveló que el ataque fue a una empresa externa, no directamente a la AEAT. Esto podría repetirse.
Qué debes hacer ahora mismo
Independientemente de que la brecha se confirme o no, hay acciones que deberías tomar hoy:
1. Activa la autenticación en dos pasos (2FA)
En todos estos servicios como mínimo:
- Tu banco online
- Email principal
- Cl@ve (sistema de identificación con Hacienda)
- Cualquier servicio vinculado a tu DNI
2. Vigila tus cuentas bancarias
Durante las próximas semanas, revisa diariamente:
- Movimientos no autorizados
- Domiciliaciones nuevas
- Cambios en tus datos de contacto
3. Desconfía de comunicaciones que citen tus datos
Si recibes un SMS, email o llamada que menciona tu DNI, dirección o datos fiscales para "verificar" algo, es casi seguro un fraude. Hacienda nunca te pedirá datos sensibles por estos medios.
4. Considera una alerta de CIRBE
El CIRBE del Banco de España te permite ver qué entidades han consultado tu información crediticia. Si alguien intenta abrir créditos a tu nombre, lo verás aquí.
5. Documenta todo
Si sufres algún tipo de fraude relacionado, necesitarás:
- Capturas de pantalla
- Fecha y hora de los incidentes
- Números de teléfono o emails de los atacantes
- Denuncia en la Policía Nacional o Guardia Civil
Recursos oficiales disponibles
Si necesitas ayuda o información:
| Recurso | Descripción |
|---|---|
| 017 | Línea de Ayuda en Ciberseguridad de INCIBE |
| AEPD | Agencia Española de Protección de Datos |
| Comunica-Brecha RGPD | Herramienta para evaluar riesgos de brechas |
Las obligaciones legales de Hacienda
Según el RGPD, si la brecha es real:
- Hacienda tiene 72 horas para notificar a la AEPD
- Si existe riesgo alto para los afectados, debe comunicar directamente a los ciudadanos
- Puede enfrentarse a sanciones millonarias si no cumple
En 2025, la AEPD recibió más de 2.700 notificaciones de brechas de datos. Si Hacienda no notifica y la brecha resulta ser real, las consecuencias legales serían graves.
Mi análisis: ¿es real o es un farol?
Después de revisar toda la información disponible, aquí está mi evaluación honesta:
Factores a favor de que sea real:
- España ha sufrido múltiples ciberataques gubernamentales confirmados
- El volumen de datos (47.3M) es coherente con la población fiscal
- Hackmanac tiene historial alertando sobre brechas reales
Factores en contra:
- HaciendaSec no tiene historial verificable
- Perfil creado específicamente para este anuncio
- Precedente: Trinity en 2024 resultó ser empresa externa
Mi veredicto: Probabilidad de brecha real 50-60%. El volumen alegado es dudoso. Pero el riesgo para ciudadanos es alto si resulta verdad.
La mejor estrategia es actuar como si fuera real mientras esperamos confirmación oficial. Más vale prevenir.
Preguntas frecuentes
¿Cómo sé si mis datos están en la filtración?
Actualmente no hay forma de verificarlo directamente. Las herramientas como HaveIBeenPwned podrían indexar los datos si se filtran públicamente, pero por ahora la base de datos está solo a la venta en la dark web.
¿Debería cambiar mi DNI?
No es posible cambiar el DNI excepto en casos excepcionales de amenaza grave. Lo que sí puedes hacer es activar alertas y monitorizar cualquier uso fraudulento.
¿Puede Hacienda ser demandada?
Si la brecha se confirma y Hacienda no cumplió con las medidas de seguridad adecuadas, los afectados podrían tener derecho a reclamar daños bajo el RGPD. La AEPD podría imponer sanciones administrativas.
¿Cuánto tiempo tardaremos en saber si es real?
Las investigaciones de este tipo suelen tardar semanas o meses. En el caso de Trinity (2024), la AEAT tardó más de un mes en aclarar que el ataque fue a una empresa externa.
¿Qué hago si recibo una llamada mencionando mis datos fiscales?
Cuelga inmediatamente. No proporciones ninguna información adicional. Hacienda nunca te llamará para pedir datos sensibles. Reporta el intento de fraude al 017.
Conclusión: actúa ahora, no esperes
Independientemente de que la brecha se confirme, la realidad es que España es un objetivo frecuente de ciberataques gubernamentales. Solo en 2025, cada organización en España sufrió una media de 1.911 ataques semanales.
Mi recomendación directa:
- Hoy: Activa 2FA en banco y email
- Esta semana: Revisa movimientos bancarios diariamente
- Este mes: Considera servicios de monitorización de identidad
No esperes a que Hacienda confirme nada. Para cuando lo hagan (si lo hacen), tus datos podrían estar vendiéndose al mejor postor.
Actualizaremos este artículo cuando haya novedades oficiales.
