**Companies House**, una agencia del gobierno británico, sacó su servicio WebFiling de línea el viernes para abordar una vulnerabilidad de seguridad que había estado presente desde octubre de 2025. La falla expuso potencialmente los datos de millones de empresas registradas. ### Descubrimiento de la Vulnerabilidad La vulnerabilidad fue reportada a **Companies House** por **Dan Neidle**, fundador de **Tax Policy Associates**, después de que John Hewitt de **Ghost Mail** descubriera inicialmente el problema pero supuestamente no recibiera respuesta de la agencia. "Todo lo que se requería era iniciar sesión en Companies House usando tus propios datos y acceder al panel de control de tu propia empresa. Luego, opta por 'presentar para otra empresa' e ingresa el número de la empresa de cualquiera de las cinco millones de empresas registradas en Companies House", [dijo Neidle](https://taxpolicy.org.uk/2026/03/13/companies-house-security-vulnerability-directors-addresses/). "En ese momento, se te pediría un código de autenticación, que por supuesto no tienes. No hay problema. Presiona la tecla 'atrás' un par de veces para regresar a tu panel de control. Excepto – no es tu panel de control. Es el panel de control de la otra empresa." ### Exposición de Datos Según Neidle, la falla permitió el acceso a información sensible, incluyendo las direcciones de domicilio y correo electrónico de la gerencia de la empresa, para las cinco millones de empresas registradas. **Companies House** confirmó la vulnerabilidad el lunes, declarando que fue introducida durante una actualización de sus sistemas WebFiling en octubre de 2025.  La agencia reconoció que los usuarios que habían iniciado sesión podrían haber "cambiado algunos elementos de los detalles de otra empresa sin su consentimiento". También admitieron que la vulnerabilidad podría haber sido explotada para robar datos y acceder a los registros de la empresa uno por uno. ### Impacto e Investigación "Nuestra investigación ha establecido que datos específicos de empresas individuales que normalmente no se publican en el registro de Companies House pueden haber sido visibles para otros usuarios de WebFiling que habían iniciado sesión", [declaró Companies House](https://www.gov.uk/government/news/update-on-companies-house-webfiling-security-issue) en un anuncio público. Estos datos expuestos incluían fechas de nacimiento, direcciones residenciales y direcciones de correo electrónico de empresas. La agencia también señaló la posibilidad de que se realizaran presentaciones no autorizadas, como cuentas o cambios de director, en el registro de otra empresa. **Companies House** aclaró que las contraseñas de los usuarios y los datos de verificación de identidad, como la información del pasaporte, no se vieron comprometidos. Además, los documentos ya presentados no pudieron ser alterados. La agencia ha reportado el incidente a la **Information Commissioner's Office (ICO)** del Reino Unido y al **National Cyber Security Centre (NCSC)**. Se está llevando a cabo una investigación para determinar si la vulnerabilidad fue explotada para acceder o modificar los detalles de alguna empresa. "No tenemos informes en esta etapa de que los datos hayan sido accedidos o modificados sin permiso", [declaró Companies House](https://www.gov.uk/government/news/update-on-companies-house-webfiling-security-issue). "Sin embargo, nuestra investigación está en curso. Proporcionaremos más actualizaciones a medida que nuestro trabajo progrese y seguimos comprometidos a ser transparentes en todo momento."