Aunque se ha hecho público hoy, Iberdrola sufrió hace dos semanas, el 15 de marzo, un ataque que ha comprometido los datos de 1,3 millones de clientes, según informa el diario El País. Una fuga de datos que, según la eléctrica, ha comprometido datos personales de los clientes, concretamente nombre y apellidos, DNI, domicilio, número de teléfono y dirección de correo electrónico, pero que también según Iberdrola, no afectaría ni a los datos económicos ni a los de facturación de los clientes afectados.
Según podemos leer en dicha información, el origen del compromiso se encuentra en I-DE Redes Eléctricas Inteligentes (antigua Iberdrola Distribución), una filial de Iberdrola y distribuidora de la compañía. Así, es esta filial quien estaría contactando con sus clientes para informar sobre la incidencia, comunicación en la que además alertan a los usuarios afectados sobre los posibles riesgos que afrontan como consecuencia de este robo de datos.
Aunque la compañía no revela la naturaleza del ataque, sí que encuadra éste en una campaña más amplia dirigida a múltiples grandes corporaciones e instituciones públicas españolas, como las webs del servicio de Cercanías de Renfe o la del Congreso de los Diputados. Una campaña que, dadas las circunstancias geopolíticas actuales, nos hace valorar la posibilidad de que tenga la firma de alguno de los grupos de ciberguerra rusos que actúan al servicio del Kremlin.
Según el relato de Iberdrola, se detectaron varios intentos de ataque entre los días 15 y 16, siendo exitoso solo el primero de ellos, pues alertada por el mismo, la compañía habría tomado medidas de manera inmediata para proteger sus activos digitales de nuevos intentos de incursión. Además, también procedieron en lo referido a informar a las autoridades, según el email enviado por Iberdrola a sus clientes y que reproduce el diario El País:
“Tan pronto tuvimos conocimiento del ataque, se pusieron en marcha las medidas necesarias para detenerlo de inmediato y evitar su repetición. De forma paralela, pusimos los hechos en conocimiento de las autoridades competentes. Concretamente, presentamos la correspondiente denuncia ante la Brigada Central de Investigación Tecnológica de la Policía Nacional y lo notificamos a la Agencia Española de Protección de Datos”.
Que los datos se hayan visto comprometidos ya es, por sí mismo, un problema mayor, y con toda seguridad tendrá que abrirse una investigación para comprobar si Iberdrola ha actuado con la diligencia debida en la custodia de los datos de sus clientes. Y es que, en caso contrario, tal y como estipulan la GDPR y su transposición al marco jurídico español, la eléctrica podría enfrentarse a importantes sanciones por las posibles dejaciones en este sentido. Tendremos, por lo tanto, que esperar hasta conocer los resultados de dichas investigaciones.
El mayor problema, no obstante, lo tienen ahora los clientes de Iberdrola afectados por este robo de datos. De manera regular hablamos de campañas de phishing que impostan empresas y entidades públicas presentes en nuestro día a día, y sin duda una eléctrica es el ejemplo perfecto de ello. Y el problema es que, con todos estos datos al alcance de los ciberdelincuentes, la confección de campañas de phishing más «afinadas» y dirigidas en exclusiva a estos clientes de Iberdrola es una posibilidad muy real.
Y el mayor problema es, claro, que a diferencia de una filtración en la que se comprometen, por ejemplo, credenciales de acceso, en este caso el cambio de los datos comprometidos no es una opción factible. Cambiar de dirección de correo electrónico y de número de teléfono sí que entran en las posibilidades, pero hacerlo de domicilio, de DNI o de nombre ya es mucho, mucho más complicado. Así, ahora está en manos de Iberdrola el proporcionar a sus clientes algún tipo de solución para evitar que se vean afectados por lo ocurrido.
Personalmente, creo que la primera y principal vía es reforzar de manera sustancial los canales de comunicación directa que ofrecen a sus clientes. Cualquiera de las personas afectadas, y en este caso pienso especialmente en los más mayores, deberían disponer de números de teléfono gratuitos, de atención inmediata y de atención humana, a los que puedan recurrir siempre que reciban alguna comunicación, supuestamente de Iberdrola, y que quieran confirmar su legitimidad.
Confío, quiero confiar, en que la eléctrica pondrá todos los medios a su alcance para reducir a la mínima expresión el potencial impacto de este robo de datos a sus clientes. No corren precisamente buenos tiempos para la imagen de las eléctricas (y prefiero no entrar en ese punto, pues no es éste el lugar para ello), pero si empiezan a aflorar casos de clientes de Iberdrola estafados por culpa de esta fuga de datos, la situación podría complicarse sustancialmente para la compañía.
La entrada Filtrados datos de 1,3 millones de clientes de Iberdrola por un ciberataque es original de MuySeguridad. Seguridad informática.