Clientes de Iberdrola sufren nuevo ciberataque: 654.000 afectados

Iberdrola, la mayor eléctrica de España y de Europa, ha reconocido este miércoles haber sufrido un ciberataque que ha dejado al descubierto los datos —nombre, apellidos y número de DNI— de 654.000 clientes.

El ataque cibernético, que fue adelantado por El Español y confirmado por este diario, se produjo entre los días 5 y 7 de mayo. La compañía puso el asunto en manos de la Agencia Española de Protección de Datos y de las Fuerzas y Cuerpos de Seguridad del Estado, y ya ha comunicado el incidente por correo electrónico a todos los afectados.

Datos filtrados, pero no los más sensibles

Según la eléctrica, los ciberdelincuentes no han logrado acceder a la "información más sensible", como el número de teléfono o la dirección de correo electrónico. La brecha se cerró de forma "inmediata", el mismo día 7 en el que el departamento informático de la compañía fue consciente de lo ocurrido.

La empresa tiene casi 11 millones de clientes en España, entre luz (10,4 millones) y gas (1,3 millones). Los datos filtrados pertenecen tanto a clientes del mercado regulado como del libre, y tanto de luz como de gas.

Iberdrola, tercera multinacional española afectada

Iberdrola se convierte así en la tercera multinacional española en sufrir un ciberataque que deja al descubierto los datos de sus clientes. El día 14 fue el Banco Santander el que reconoció un "acceso no autorizado" a sus sistemas informáticos, que afectaba a sus clientes en España, Chile y Uruguay.

Y este mismo martes ha sido Telefónica la que admitía que investiga una posible filtración de datos de 120.000 clientes y empleados tras un posible ataque a una base de datos con más de dos millones de registros.

El Instituto Nacional de Ciberseguridad (Incibe) recomienda utilizar herramientas web como Have i Been Pwned, que recopilan todas las filtraciones de datos y que permiten localizar las direcciones de correo electrónico potencialmente afectadas.

Multas por brechas de seguridad

La energética ya sufrió un importante ciberataque en febrero y marzo de 2022 —justo al inicio de la invasión rusa de Ucrania—, cuando quedaron al descubierto los datos de 1,3 millones de clientes.

En aquella ocasión, además del nombre, los apellidos y el DNI, también se filtró el número de teléfono y la dirección de email. Hace poco más de un mes, la Agencia Española de Protección de Datos impuso cuatro multas a la matriz y a su filial de redes (I-DE) por las brechas de seguridad que hicieron posible la filtración.