Vulnerabilidad en el portal de pensiones CSPS de Capita expone datos de funcionarios en Reino Unido
Vulnerabilidad en el portal de pensiones CSPS de Capita: el proveedor británico de outsourcing confirmó un “issue” en el portal de miembros del Civil Service Pensions Scheme (CSPS) que, durante un intervalo limitado, permitió que algunos usuarios vieran información personal que no les correspondía. El incidente eleva la presión sobre un servicio digital ya cuestionado por su estabilidad operativa y su capacidad para gestionar altos volúmenes.
Según Capita, el problema se produjo “durante alrededor de 35 minutos” el 30 de marzo y afectó a la “accuracy” de un número pequeño de Annual Benefit Statements (ABS) generados en ese periodo. La empresa afirmó que 138 miembros “recibieron datos personales de ABS pertenecientes a otros miembros y/o vieron sus datos personales expuestos a otros miembros”.
Vulnerabilidad en el portal de pensiones CSPS de Capita: qué se expuso y qué se desactivó
Tras detectar el fallo, Capita indicó que suspendió “de inmediato” la funcionalidad de ABS dentro del portal y abrió una investigación técnica para determinar la causa raíz. Mientras se implementa el fix, la función de solicitud/generación de ABS continúa offline, una medida de contención típica cuando existe riesgo de exposición cruzada de datos por errores de autorización, sesiones o asociación de registros.
Capita también aseguró que notificó a los miembros afectados. En paralelo, el sindicato Public and Commercial Services Union (PCS) declaró que la exposición incluyó información como nombres y direcciones, elevando el nivel de riesgo por potencial phishing dirigido y suplantación de identidad.
Gobierno británico e ICO activan revisión tras la Vulnerabilidad en el portal de pensiones CSPS de Capita
El Cabinet Office comunicó que se toma el incidente “extremely seriously” y que considerará acciones adicionales según avance la recopilación de hechos. Por su parte, el regulador de privacidad del Reino Unido, la Information Commissioner’s Office (ICO), confirmó que recibió un reporte y que está evaluando la información facilitada.
Para contexto, el CSPS da soporte a alrededor de 1,5 millones de funcionarios y exfuncionarios. La sensibilidad de estos datos y la naturaleza del servicio (gestión de beneficios y documentación previsional) hacen que cualquier exposición, incluso breve, se considere un evento relevante de ciberseguridad y cumplimiento.
Antecedentes: un portal bajo presión por incidencias y backlog
Capita obtuvo el contrato de 239 millones de libras para construir y operar el portal en noviembre de 2023, y el servicio se lanzó en diciembre de 2025. Desde sus primeras semanas, usuarios reportaron errores recurrentes para iniciar sesión y recuperar información de cuenta, y el portal fue señalado por problemas de capacidad y calidad. Además, Capita ha sostenido que heredó un backlog mayor del previsto del administrador anterior, estimado en 86.000 casos.
En ese contexto, el PCS ha descrito la situación como una “fiasco” con impactos en tiempos de respuesta y en la experiencia de usuarios, incluyendo retrasos en pagos y en la emisión de cotizaciones/quotes. El plan oficial apuntaba a reducir el backlog a finales de junio, aunque el sindicato ha expresado dudas sobre el cumplimiento del objetivo.
Implicaciones técnicas y de riesgo
Aunque Capita no detalló el vector exacto, la descripción sugiere un incidente de exposición por fallo de lógica de aplicación o control de acceso (por ejemplo, asignación incorrecta de documentos ABS, caching defectuoso, o mapeo erróneo de identidad a registros). Este tipo de errores puede convertirse en un riesgo sistémico en portales de alto tráfico si no se acompañan de pruebas de regresión, controles de autorización a nivel de objeto (Object-Level Authorization) y telemetría de auditoría para detectar accesos anómalos.
Capita declinó ampliar comentarios más allá de su comunicado, mientras continúan las revisiones por parte del gobierno y del regulador.
Qué sigue tras la Vulnerabilidad en el portal de pensiones CSPS de Capita
La evolución de la Vulnerabilidad en el portal de pensiones CSPS de Capita dependerá del resultado de la investigación interna, del alcance final confirmado, y de las medidas correctivas para restaurar la funcionalidad de ABS con garantías de segregación de datos. En un servicio de esta escala, la respuesta esperable incluye revisión de controles de acceso, pruebas de seguridad adicionales, y potenciales acciones de cumplimiento si el ICO determina fallos en salvaguardas o procesos.
Fuentes de referencia y contexto institucional: Information Commissioner’s Office (ICO) y Cabinet Office (GOV.UK).
