El ‘asalto digital sufrido por Iberdrola el pasado 7 de mayo, que dejó a la intemperie la información personal de casi un millón de usuarios, pone bajo la lupa a la compañía presidida por Ignacio Sánchez-Galán. La energética ha señalado que ante la ola de ‘hackeos’ sin precedentes que han afectado a importantes empresas y entidades públicas y privadas en los últimos tiempos, «trabaja de forma continua para combatir estos ciberataques actuando siempre con total transparencia y colaborando con los organismos reguladores y supervisores».
La energética detectó el pasado 7 de mayo un acceso no autorizado a las bases de datos de clientes ocasionado a través de un proveedor. Los afectados serían un total de 600.000 pertenecientes a Iberdrola Clientes y otros 250.000 de Curenergía -su comercializador de último recurso, que opera en el mercado regulado-.
Iberdrola ha indicado que ha puesto «de forma inmediata» este hecho en conocimiento de la Agencia de Protección de Datos (AEPD) y que ha cursado la pertinente denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. A la vez, ha remitido una comunicación a los clientes afectados informándoles del incidente.
LAS OBLIGACIONES DE IBERDROLA
El artículo 33 del Reglamento Europeo de Protección de Datos (RGPD) impone a los responsables de un tratamiento de datos personales (en este caso, Iberdrola) la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas. Esta información deberá incluir, como mínimo, los siguientes aspectos del incidente:
- Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
- Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
- Describir las posibles consecuencias de la violación de la seguridad de los datos personales;
- Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
MERCA2 ha consultado al portavoz de la asociación de consumidores FACUA,Rubén Sánchez, que ha señalado «La AEPD tiene que evaluar si Iberdrola ha hecho todo lo posible para proteger los datos de sus clientes o si, por el contrario, el incidente se ha debido a una brecha de seguridad» -explica- «En este último caso, se impondría la correspondiente sanción».
Por otro lado, Sánchez explica que, «en el caso de que algún cliente haya sufrido un perjuicio económico como consecuencia del robo de datos, el afectado puede pedir responsabilidad a Iberdrola».
Hace algo más de un mes, la compañía ya fue objeto de cuatro multas impuestas por la AEPD por otro ciberataque que sufrió en 2022 y que dejó al descubierto los datos de 1,3 millones de clientes. En aquella ocasión, los asaltantes se hicieron con información muy sensible de los usuarios, incluyendo el nombre y apellidos.
«protección de datos tiene que evaluar si Iberdrola ha hecho todo lo posible para proteger los datos de sus clientes o si, por el contrario, el incidente se ha debido a una brecha de seguridad»
Rubén Sánchez, portavoz de FACUA
En el caso del ciberataque de mayo, afectó a los siguientes datos: nombre, apellidos, número de DNI y datos de contacto. No obstante, no se accedió a datos bancarios.
La energética afirmó que, ante la ola de ‘hackeos’ sin precedentes que han afectado a importantes empresas y entidades públicas y privadas en los últimos tiempos, «trabaja de forma continua para combatir estos ciberataques actuando siempre con total transparencia y colaborando con los organismos reguladores y supervisores».
A este respecto, señaló que la ciberseguridad es «una prioridad» para la compañía, «tal y como se demuestra la continua y creciente dotación de recursos humanos y económicos».
«En los últimos años la inversión se ha visto robustecida con una financiación que se ha incrementado notablemente», añadió, subrayando que cuentan con más de 400 profesionales en todo el mundo dedicados a ciberseguridad y que han efectuado «una gran inversión en procesos y sistemas avanzados, con el propósito de proteger nuestras infraestructuras, sistemas de información y los datos nuestros clientes».
LA CIBERDELINCUENCIA, DESATADA
Este martes se conoció que Telefónica estaba «investigando la legitimidad de la información» que un usuario y potencial ciberdelincuente había publicado en un foro de hackers en internet en el que afirma haber conseguido los datos de 120.000 usuarios y empleados de la compañía española, los cuales habría puesto a la venta.
Asimismo, hace unas semanas, Banco Santander informó de un «acceso no autorizado» a una base de datos de la entidad financiera alojada en un proveedor que afectó a clientes de España, Chile y Uruguay, así como a todos los empleados y a algunos exempleados del grupo.
