Iberdrola ha comunicado recientemente a sus clientes sobre un acceso no autorizado a datos personales de más de 850.000 usuarios, que ahora están a la venta en internet. En un correo electrónico enviado a los afectados, la compañía informó que entre el 5 y el 7 de mayo, «uno de nuestros proveedores sufrió un ciberataque que supuso el acceso parcial a datos de nuestros clientes». La empresa ha asegurado que el incidente fue subsanado «de forma inmediata» y que los datos comprometidos incluyen nombres, apellidos, números de DNI y datos de contacto.
Sin embargo, fuentes cercanas al incidente aseguran que el alcance del ataque podría ser mayor al reportado oficialmente, involucrando potencialmente a más de 1 millón de clientes y no solo datos personales, sino también financieros. Esta información se ha filtrado y está siendo vendida en la red, lo que aumenta el riesgo de futuros ataques y fraudes.
En su comunicado, Iberdrola señaló que, tras detectar el ataque, se tomaron medidas para neutralizarlo y se activaron protocolos de refuerzo para evitar su repetición. Además, la empresa informó de los hechos a las autoridades competentes, incluida la Agencia Española de Protección de Datos (AEPD).
No obstante, muchos clientes han expresado su preocupación al no haber recibido ningún aviso de la empresa, dejando en incertidumbre si sus datos han sido comprometidos. La compañía asegura que la cifra oficial de afectados es de 850.000, pero la información disponible sugiere que podría haber hasta 1,3 millones de registros comprometidos.
Antecedentes de Ciberataques en Iberdrola
Este no es el primer incidente de seguridad que enfrenta Iberdrola. En marzo de 2022, la empresa sufrió un grave ciberataque que resultó en la filtración de datos de 1,3 millones de clientes. Los datos robados en esa ocasión incluían nombres, apellidos, números de DNI, teléfonos y direcciones de correo electrónico. Tras ese ataque, muchos clientes comenzaron a recibir llamadas y correos comerciales no solicitados, una clara indicación de que sus datos habían sido puestos a la venta y estaban siendo explotados.
Por este incidente, la AEPD impuso a Iberdrola una multa de 6,5 millones de euros, una de las mayores sanciones emitidas por el organismo. La investigación concluyó que Iberdrola no había supervisado adecuadamente sus sistemas de seguridad desde 2019, calificando la vulnerabilidad como «identificable y evitable».
Medidas y Repercusiones
Ante esta nueva brecha de seguridad, Iberdrola se enfrenta nuevamente a un escrutinio sobre sus medidas de protección de datos. La empresa ha reiterado su compromiso con la seguridad y ha implementado nuevas medidas para prevenir futuros incidentes. Sin embargo, la recurrente aparición de estos problemas plantea preguntas sobre la eficacia de las soluciones implementadas y la supervisión de sus proveedores.
Este incidente subraya la necesidad crítica de las empresas de fortalecer sus medidas de ciberseguridad y de ser transparentes con sus clientes sobre los riesgos y las acciones tomadas para mitigar posibles daños. La confianza de los clientes está en juego, y es vital que Iberdrola y otras compañías adopten enfoques proactivos para proteger los datos personales y financieros de sus usuarios.
