Iberdrola ha sido víctima de un ciberataque en el que los ciberdelincuentes han conseguido apoderarse de información confidencial perteneciente a 1,3 millones de sus clientes.
El incidente tuvo lugar el pasado 15 de marzo en I-DE Redes Eléctricas Inteligentes, la empresa distribuidora de electricidad del grupo, pero no se ha conocido hasta este jueves. Según informa El Mundo, la compañía ha reconocido que, tras la invasión de Ucrania, recibió un aviso del Gobierno de Estados Unidos en el que le alertaba que era uno de los grupos que podía sufrir un ciberataque a gran escala por parte de Rusia.
"Fuimos advertidos por las autoridades norteamericanas", han señalado fuentes de Iberdrola, apuntando que la advertencia avisaba de un ciberataque vinculado a "la situación crítica que estamos viviendo", en referencia a la guerra lanzada en Ucrania por el presidente ruso Vladímir Putin.
Desde la eléctrica no han confirmado que Rusia este detrás de este ciberataque, del que dicen "ha sido limitado" gracias al aviso estadounidense. Y es que las fuentes citadas por El Mundo aseguran que una vez que lo recibieron "se establecieron las medidas oportunas y se ha evitado la filtración o robo de información crítica de los clientes. En todo momento fueron informadas las autoridades españolas". "Podemos inferir que el ciberataque ha sido limitado, tras la defensa impuesta por nuestros técnicos y personal de seguridad".
Según indica El Diario citando también fuentes internas de la compañía, al día siguiente de esta brecha, los sistemas de Iberdrola volvieron a sufrir "ataques masivos" que sí pudieron detener. En este sentido, este mismo medio apunta que Iberdola lo relaciona con una campaña de ciberataques que afectó a otras empresas y a instituciones españolas y europeas.
Iberdrola ha informado de este ciberataque a los clientes afectados
La distribuidora de electricidad de Iberdrola también se ha pronunciado sobre este ciberataque en un comunicado que ha enviado a los clientes afectados para informarles de esta brecha de seguridad.
"Hemos sufrido un ciberataque a nuestros sistemas de información. El incidente, ya subsanado, tuvo como resultado el acceso a los datos de algunos de nuestros clientes", admite la compañía en su comunicado.
Según explica, los datos que se han visto comprometidos son su nombre y apellido, DNI, domicilio, número telefónico y dirección de correo electrónico, pero "en ningún caso han tenido acceso a datos financieros (cuenta corriente o tarjeta de crédito) ni a datos de consumo eléctrico".
"Tan pronto tuvimos conocimiento del ataque, se pusieron en marcha las medidas necesarias para detenerlo de inmediato y evitar su repetición", afirma la empresa en su comunicado, agregando que también presentó una denuncia ante la Brigada Central de Investigación Tecnológica de la Policía Nacional y se lo notificó a la Agencia Española de Protección de Datos.
Iberdrola también insta a sus clientes a tomar ciertas precauciones
Además de informarles de "esta circunstancia", como lo califica I-DE Redes Eléctricas Inteligentes, el comunicado también insta a los clientes a estar "especialmente atento a las comunicaciones electrónicas y a cualquier actividad atípica o inhabitual que pueda guardar relación con sus datos personales en las próximas semanas".
Los ciberdelincuentes podrían utilizar los datos robados para preparar ciberestafas con ganchos personalizados, lo que dispara sus probabilidades de éxito. Para ello, no sería de extrañar que lanzaran ataques de phishing o smishing, dos técnicas muy habituales para ellos con las que pueden robar dinero a sus víctimas, sus datos bancarios o infectar sus dispositivos con algún malware. Por ello, Iberdrola recomienda a sus clientes que desconfíen de los correos electrónicos o SMS que "no cuenten con una identificación clara del remitente, cuando le pidan información reservada con su número de cuenta, datos de tarjetas de pago o claves de acceso a servicios". "Ni Iberdrola ni ninguna otra empresa del grupo se los va a solicitar por estos medios", recuerda.
Además, aconseja a sus clientes que tengan especial cuidado con los enlaces incluidos en estas comunicaciones y que se pongan en contacto con su operador de telefonía móvil si observan cualquier incidencia.
La Oficina de Seguridad del Internauta añade otra recomendación
Desde la Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad (INCIBE), también aconsejan a las personas afectadas por este ciberataque contra Iberdrola a vigilar la información que circula sobre ellos en internet practicando egosurfing.
"Si tras realizar una búsqueda en Internet de tu información personal encuentras algún dato que no te gusta o se está ofreciendo sin tu consentimiento, ejerce tus derechos. La Agencia Española de Protección de Datos te proporciona las pautas sobre cómo hacerlo".
Además, en caso de que sus datos hayan sido filtrados en internet, les recomienda seguir estas pautas:
- Averiguar qué datos han sido comprometidos.
- Proteger su privacidad: cambiando contraseñas, usando correos alternativos, etc.
- Denunciar, si es preciso, ante las Fuerzas y Cuerpos de Seguridad del Estado.