Vulnerabilidad en Companies House WebFiling permitió ver datos de directores y alterar registros

La vulnerabilidad en Companies House WebFiling obligó al registro mercantil del Reino Unido a desconectar durante todo el fin de semana su plataforma de presentación de documentos, después de que se confirmara que usuarios autenticados podían visualizar información no pública de otras empresas e, incluso, iniciar presentaciones no autorizadas en expedientes ajenos. El incidente es relevante porque afecta a una infraestructura crítica de confianza para el compliance corporativo y el reporting legal de miles de compañías.

Según la propia agencia, WebFiling se detuvo el 13 de marzo a las 13:30 UTC tras reportes de que datos “ocultos” de empresas podían verse y modificarse. El servicio se restableció el 16 de marzo a las 09:00 UTC una vez aplicada la corrección. La organización publicó una actualización oficial del incidente y el estado de la investigación en el portal del Gobierno británico: gov.uk.

Qué expuso la vulnerabilidad en Companies House WebFiling

En su comunicado, el CEO de Companies House, Andy King, detalló que la vulnerabilidad en Companies House WebFiling pudo hacer visibles a otros usuarios autenticados ciertos datos que normalmente no se publican en el registro. Entre ellos: fechas de nacimiento, direcciones residenciales y correos electrónicos de empresa. Además, la entidad admitió que también “pudo haber sido posible” realizar filings no autorizados (por ejemplo, cuentas o cambios de director) sobre el registro de otra compañía.

La agencia añadió que contraseñas no estuvieron entre los datos accesibles y que tampoco se expusieron documentos de verificación de identidad como pasaportes. Asimismo, afirmó que los documentos ya presentados (como cuentas o confirmation statements) no podían alterarse mediante este fallo, acotando el alcance a la visualización de datos no publicados y a posibles presentaciones no autorizadas.

Cómo funcionaba el fallo: un problema de estado de sesión y navegación

La mecánica descrita apunta a un comportamiento inesperado asociado al flujo de autenticación y la gestión del estado de navegación. Un director con sesión iniciada podía intentar acceder al login de otra empresa; al llegar al bloqueo por 2FA (que no podía superar), bastaba con usar el botón “Atrás” del navegador varias veces. En lugar de retornar al panel propio, el sistema podía devolver al usuario a pantallas vinculadas al registro de la empresa objetivo, permitiendo ver campos que deberían permanecer aislados por compañía.

Aunque Companies House sostiene que no era viable extraer datos “en grandes volúmenes” ni acceder “sistemáticamente” a registros, el caso refleja un riesgo clásico en aplicaciones web: inconsistencias entre controles de autorización del backend, caché/estado del navegador y flujos de navegación tras un challenge de autenticación adicional. En entornos de e-government, estas desviaciones pueden traducirse en exposición de datos personales y en vectores de fraude documental.

Origen, cronología y divulgación responsable

La entidad indicó que una investigación interna vincula la aparición del comportamiento a cambios introducidos en la plataforma en octubre de 2025. El problema se señaló públicamente el 13 de marzo, después de que el profesional fiscal Dan Neidle difundiera un video mostrando cómo podía abusarse del fallo. Neidle afirmó haber sido alertado por John Hewitt, director de operaciones de Ghost Mail, y haber informado de inmediato a Companies House.

Companies House confirmó que notificó el incidente al Information Commissioner’s Office (ICO) y al National Cyber Security Centre (NCSC), y que continúa analizando si la vulnerabilidad en Companies House WebFiling fue explotada desde su introducción. Para contexto institucional sobre el rol del NCSC en la respuesta a incidentes y buenas prácticas, puede consultarse el sitio oficial del organismo: ncsc.gov.uk.

Por qué este incidente importa para el ecosistema de compliance

WebFiling funciona como una vía centralizada para presentar información corporativa que impacta en auditorías, debida diligencia, banca, proveedores y procesos de contratación. Una brecha en la separación entre expedientes (multi-tenant segregation) puede comprometer datos personales de directores y abrir la puerta a intentos de manipulación documental, aunque sea de forma puntual y registro a registro.

Companies House afirma haber actuado con rapidez, haber restaurado el servicio tras corregir el fallo y estar preparada para tomar acciones si se confirma acceso o cambios no autorizados. En cualquier caso, el episodio refuerza la necesidad de pruebas de regresión de seguridad tras cambios en flujos de autenticación, especialmente cuando intervienen capas como 2FA, cachés de navegador y transiciones de sesión.

De cara a las próximas semanas, el punto clave será el resultado de la investigación y si emergen evidencias de explotación real: el impacto reputacional y regulatorio dependerá de si la vulnerabilidad en Companies House WebFiling se quedó en un acceso oportunista o si derivó en accesos indebidos con consecuencias para empresas y directores.