Nueva filtración de datos en una multinacional española. La mayor eléctrica del país y de Europa, Iberdrola, ha reconocido este miércoles haber sufrido un ciberataque que ha dejado al descubierto los datos —nombre, apellidos y número de DNI— de 850.000 clientes, casi 200.000 más de los comunicados inicialmente. La incursión no autorizada se produjo entre los días 5 y 7 de mayo, fecha en la que la compañía puso el asunto en manos de la Agencia Española de Protección de Datos y de las Fuerzas y Cuerpos de Seguridad del Estado.
El ataque cibernético, adelantado por El Español y confirmado por El País, fue “a través de un proveedor” y ya ha sido comunicado por correo electrónico a todos los afectados, según la eléctrica. Los ciberdelincuentes no han logrado acceder a la “información más sensible”, subraya un portavoz de Iberdrola, que afirma que la brecha se cerró de forma “inmediata”, el mismo día 7 en el que el departamento informático de la compañía fue consciente de lo ocurrido. La empresa tiene casi 11 millones de clientes en España, entre luz (10,4 millones) y gas (1,3).
Usuarios de todo tipo
Los datos filtrados pertenecen tanto a clientes del mercado libre (600.000) como del regulado (250.000). “No hay un segmento específico”, apuntan desde la eléctrica, que lleva en alerta por ataques cibernéticos desde el inicio de la guerra en Ucrania. La empresa no ha enviado ninguna comunicación sobre este incidente a la Comisión Nacional del Mercado de Valores (CNMV).
Iberdrola se convierte, así, en la tercera multinacional española en sufrir un ciberataque que deja al descubierto los datos de sus clientes. El día 14 fue el Banco Santander el que reconoció un “acceso no autorizado” a sus sistemas informáticos que afectaba a sus clientes en España, Chile y Uruguay. Y este mismo martes ha sido Telefónica la que admitía que investiga una posible filtración de datos de 120.000 clientes y empleados tras un posible ataque a una base de datos con más de dos millones de registros.
El Instituto Nacional de Ciberseguridad (Incibe) recomienda utilizar herramientas web como Have i Been Pwned, que recopilan todas las filtraciones de datos y que permiten localizar las direcciones de correo electrónico potencialmente afectadas.
Segunda filtración desde 2022
La energética ya sufrió un importante ciberataque en febrero y en marzo de 2022 —justo al inicio de la invasión rusa de Ucrania—, cuando quedaron al descubierto los datos de 1,3 millones de clientes. En aquella ocasión, además del nombre, los apellidos y el DNI, también se filtró el número de teléfono y la dirección de email.
Hace poco más de un mes, la Agencia Española de Protección de Datos impuso cuatro multas a la matriz y a su filial de redes (I-DE) por las brechas de seguridad que hicieron posible la filtración. Entonces, un portavoz de la eléctrica —que afirma contar con 400 profesionales dedicados a la ciberseguridad en todo el mundo— calificó las sanciones de “injustificadas y desproporcionadas”.
“En los últimos años hemos aumentado los recursos humanos y económicos para protegernos. Es una prioridad para nosotros”, afirman desde el departamento de comunicación de la eléctrica que preside Ignacio Sánchez Galán. “Trabajamos de forma continua para combatir los ciberataques, actuando siempre con total transparencia y colaborando con los reguladores y supervisores”.
