Iberdrola ha sufrido un ciberataque en el que se ha producido un robo de información personal de 1,3 millones de clientes, confirman fuentes de la compañía a elDiario.es. Los atacantes han logrado acceso a datos como el DNI, el domicilio, el número de teléfono y la dirección de correo electrónico, pero no a “datos financieros (cuenta corriente o tarjeta de crédito) ni a datos de consumo eléctrico”, recalcan las mismas fuentes. Iberdrola se ha puesto en contacto con los afectados y ha denunciado los hechos ante la Brigada Central de Investigación Tecnológica de la Policía.
La brecha tuvo lugar el 15 de marzo en I-DE Redes Eléctricas Inteligentes, la empresa distribuidora de electricidad del grupo. “Tan pronto tuvimos conocimiento del ataque, se pusieron en marcha las medidas necesarias para detenerlo de inmediato y evitar su repetición”, explica la empresa en su comunicado a los afectados, que también ha puesto los hechos en conocimiento de la Agencia de Protección de Datos, un imperativo legal tras sufrir un hackeo.
El día siguiente los sistemas de Iberdrola volvieron a sufrir “ataques masivos” que sí pudieron frenar, revelan las mismas fuentes. La compañía lo relaciona con una campaña de ciberataques que afectó a otras empresas y a instituciones públicas españolas y europeas, como el Congreso de los Diputados.
En un comunicado remitido posteriormente a la publicación de esta información, Iberdrola ha revelado que “la compañía fue advertida por las autoridades norteamericanas antes de sufrir el ataque. Iberdrola informó a las autoridades españolas de ello. El aviso estadounidense sirvió para reforzar la seguridad de nuestros sistemas, lo que impidió que [los atacantes] pudieran obtener información crítica”.
La compañía fue advertida por las autoridades norteamericanas antes de sufrir el ataque. Iberdrola informó a las autoridades españolas de ello
Este martes el Gobierno aprobó un paquete de medidas de urgencia “por el incremento considerable del riesgo de ciberataques por motivos geoestratégicos” a raíz de la guerra de Ucrania. El plan incluye un nuevo “Plan Nacional de Ciberseguridad” para reforzar la protección de pymes e instituciones públicas y la aprobación a través de un Real Decreto-ley de unas normas específicas de ciberseguridad de la red 5G, que han entrado en vigor este miércoles.
Alerta por fraude
Este tipo de ciberataques, aunque no logren acceder a datos bancarios de los clientes, suponen un notable aumento del riesgo de que sufran intentos de fraude. Los ciberdelincuentes utilizan la información robada para preparar estafas con ganchos personalizados, lo que dispara su porcentaje de éxito. Los ataques conocidos como phishing o smishing se basan en esta táctica y pueden llegar a defraudar miles de euros a las víctimas.
Por ello, Iberdrola alerta en el comunicado a los clientes afectados de que “desconfíen de los correos electrónicos o mensajes de telefonía móvil que no cuenten con una identificación clara del remitente, cuando le pidan información reservada con su número de cuenta, datos de tarjetas de pago o claves de acceso a servicios”. “Ni Iberdrola ni ninguna otra empresa del grupo se los va a solicitar por estos medios”, avisan.
Desde el Instituto Nacional de Ciberseguridad (Incibe) se recomienda a los usuarios afectados que se busquen a sí mismos en Internet para detectar si sus datos privados están siendo utilizados sin su consentimiento. “Si tras realizar una búsqueda en Internet de tu información personal encuentras algún dato que no te gusta o se está ofreciendo sin tu consentimiento, ejerce tus derechos. La Agencia Española de Protección de Datos te proporciona las pautas sobre cómo hacerlo”, explica el organismo.
El Incibe también recuerda la necesidad de cambiar las contraseñas de los servicios digitales periódicamente y mantener todos los programas y aplicaciones actualizados a su última versión.