Iberdrola sufre un robo de datos de 850.000 clientes que ya están a la venta en internet

Iberdrola ha comunicado en las últimas horas a sus clientes el acceso no autorizado a datos personales de más de 850.000 clientes. En un email enviado a usuarios, al que ha accedido este diario, la compañía avisa de que entre el 5 y el 7 de mayo "uno de nuestros proveedores sufrió un ciberataque que supuso el acceso parcial a datos de nuestros clientes". Iberdrola asegura que el incidente fue subsanado "de forma inmediata y afecto a los siguientes datos: nombre, apellidos, número de DNI y datos de contacto" de más de 850.000 personas, tal y como confirma también a este diario fuentes de la compañía. Fuentes conocedoras de lo ocurrido, sin embargo, aseguran a este diario que puede haber más clientes y datos involucrados de los reconocidos oficialmente por la empresa.

En el comunicado a clientes, Iberdrola asegura que "tan pronto como fue detectado el ataque, lo neutralizamos y activamos medidas de refuerzo para evitar su repetición. Adicionalmente, pusimos los hechos en conocimiento de las autoridades competentes, entre ellas la Agencia Española de Protección de Datos".

Durante los días previos al comunicado remitido hoy por Iberdrola, este diario ha podido comprobar que los datos filtrados en este nuevo ciberataque ya estaba circulando a la venta por diversos foros en la dark web y grupos de Telegram. En concreto, un paquete de 1,5 Gb de datos personales estaba ya a la venta en un conocido grupo de venta de bases de datos en Telegram. Como se puede ver en la imagen debajo, este diario pudo acceder a una parte de esos datos de los cuales su vendedor aseguraba que provenían de un nuevo ataque y filtración de datos de Iberdrola.

Iberdrola asegura que los datos filtrados corresponden a 850.000 clientes. La información que circula a la venta en la red apunta a 1,3 millones de registros. Fuentes conocedoras del ciberataque aseguran a este diario que, en realidad, estaríamos hablando de más de 850.000 afectados y, sobre todo, no solo habría datos personales comprometidos. Según estas fuentes, también se habrían filtrado supuestamente datos financieros, principalmente de cuentas corrientes.

El nuevo ciberataque sufrido por Iberdrola se une a otro grave ocurrido en marzo de 2022, en el que Iberdrola reconoció la filtración de datos de 1,3 millones de clientes. En esa ocasión, los cibercriminales se hicieron también con los nombres y apellidos, números de DNI, teléfonos y direcciones de correo de los usuarios. Meses después, comenzaron a recibir llamadas y correos comerciales no solicitados, una prueba de que esos datos se habían puesto a la venta y habían comenzado a explotarse.

Por ese ataque, la Agencia Española de Protección de Datos (AEPD) multó a Iberdrola con 6,5 millones de euros, en una de las mayores sanciones jamás impuestas por el organismo. Tras una exhaustiva investigación, la AEPD concluyó que Iberdrola no había supervisado de forma correcta sus sistemas desde el año 2019. En sus informes, la AEPD calificó la vulnerabilidad como "identificable y evitable".