La vicepresidenta primera y ministra de Hacienda, María Jesús Montero. - Marta Fernández - Europa PressEl Ministerio de Hacienda ha activado una revisión de seguridad tras la difusión de una alerta en redes sociales que apunta a un posible ciberataque contra sus bases de datos. Según han confirmado fuentes del departamento, a esta hora no existen indicios de intrusión, aunque los equipos técnicos siguen trabajando para descartarla por completo.
El aviso parte de una publicación de Hackmanac en X que señala a un actor que se presenta como HaciendaSec. Esa cuenta asegura disponer de una base de datos “actualizada” de 47,3 millones de ciudadanos y sostiene que incluye desde identificadores (DNI/NIF) y datos de contacto hasta información bancaria y fiscal. Hacienda, de momento, no valida el contenido ni la existencia de esa supuesta extracción.
ð¨Cyber Alert â¼ï¸
ðªð¸Spain - Ministerio de Hacienda
The threat actor going by the name ‘HaciendaSec’ claims to have breached the Ministerio de Hacienda.
Allegedly, the attackers are offering for sale an updated database covering 47.3 million citizens, including DNI/NIF numbers,… pic.twitter.com/j6OQpxoar9— Hackmanac (@H4ckmanac) February 2, 2026
En el entorno de ciberseguridad, este tipo de mensajes suele ir acompañado de intentos de fraude paralelos, especialmente campañas de suplantación y phishing aprovechando el ruido informativo. La Agencia Tributaria mantiene de forma permanente avisos y recomendaciones para identificar correos y SMS falsos que se hacen pasar por la administración tributaria.
No es la primera vez que circulan alertas de gran escala vinculadas a la administración tributaria que terminan sin confirmación de brecha en los sistemas afectados. En 2024, por ejemplo, se difundió una amenaza atribuida a un grupo criminal y la propia Agencia indicó entonces que no había detectado una brecha, según la verificación y el seguimiento publicados por Maldita.es y la cobertura de El País.
Por ahora, el estado del caso es este: hay una alerta pública y una investigación en curso, pero no hay confirmación oficial de hackeo. El ministerio mantiene la comprobación para cerrar el perímetro y determinar si se trata de una denuncia real, un intento de estafa o desinformación diseñada para vender datos inexistentes




