Reino Unido multa a Capita con 14 millones de libras debido al ciberincidente ocurrido en 2023

El 15 de octubre de 2025, la Oficina del Comisionado de la Información (ICO), como agente regulador de la protección de datos en el Reino Unido, ha multado a la empresa de subcontratación Capita con un total de 14 millones de libras por una filtración de datos ocurrida en marzo de 2023.

El ataque afectó a los datos de 6,6 millones de personas. Estos datos contenían registros personales, registros de pensiones y detalles de clientes de las organizaciones asociadas a Capita. En algunos casos, también se filtraron datos financieros, antecedentes penales y de categorías especiales.

El ataque comenzó el 22 de marzo de 2023 cuando un empleado descargó involuntariamente un archivo malicioso. A los 10 minutos, el sistema de seguridad de la compañía activó una alerta de seguridad de alta prioridad y realizó algunas medidas automáticas de protección. Sin embargo, Capita no puso en cuarentena el dispositivo afectado por este archivo malicioso hasta que pasaron 58 horas, tiempo durante el cual el atacante pudo explotar el sistema.

El archivo malicioso permitió la instalación de malware en la red de Capita, con el cual el atacante podía permanecer en el sistema, obtener permisos de administrador y acceder a otras áreas de la red. Una vez obtenido el acceso, entre el 29 y el 30 de marzo, se extrajo casi un terabyte de datos. Al día siguiente, el 31 de marzo, se instaló un ransomware en los sistemas de Capita y se restablecieron todas las contraseñas para que el personal de Capita no accediera al sistema.

La investigación de la ICO reveló que Capita no había garantizado la seguridad del tratamiento de los datos personales. En concreto, la ICO detalla que no se impidió la escalada de privilegios y los movimientos laterales, no se respondió adecuadamente a las alertas de seguridad y, no se implementaron adecuadamente pruebas de penetración y evaluación de riesgos.