Hace ahora poco más de dos años, el 15 de marzo de 2022, Iberdrola sufrió un sonadísimo robo de datos en el cual le fue sustraida información sensible de 1,3 millones de clientes. Tal y como entonces explicó la empresa, la víctima había sido I-DE Redes Eléctricas Inteligentes, la distribuidora de electricidad del grupo, y ya en aquel momento la actuación de la energética a la hora de hacer frente a este ciber incidente fue muy cuestionada por distintos motivos, como el excesivo tiempo que se tomó para comunicar el ciberataque a los clientes afectados. Aquel ciberataque puso en evidencia la ausencia de un plan de actuación para ciberataques por parte del equipo de Sistemas de la multinacional presidida por Ignacio Galán, que debió de hacer caso omiso a los avisos realizados previamente por los servicios secretos del Gobierno de Estados Unidos, los cuales les alertaron de que era uno de los grupos que podía sufrir un ciberataque a gran escala por parte de Rusia tras la invasión de Ucrania.
Ahora, dos años más tarde se ha conocido lo que realmente entonces sucedió tras la publicación de los dos expedientes que la AEPD abrió a diferentes sociedades de la eléctrica y que ha concluido con un total de 6,5 millones de euros en sanciones.
Según ahora se ha podido saber, los hackers pudieron obtener los datos de los clientes (nombre y apellidos, dirección de correo electrónico, teléfono, dirección postal, DNI y código de cliente) al aprovechar una vulnerabilidad en el sistema de gestión de expedientes de acometida GEA de i-DE, que se encarga de gestionar "los expedientes de acometida de luz tanto para consumo como para producción". Ahi accedieron a la información personal de los clientes y tuvieron tiempo para copiar los registros correspondientes tanto de los de Iberdrola como de los de otras comercializadoras como Curenergía durante siete días, comenzando el 7 de marzo y concluyendo el 14, fecha en la que se detectó la brecha de seguridad y se cerró el acceso.
Por todo ello, desde la Agencia Española de Protección de Datos consideran insuficiente las medidas de seguridad de las que disponía Iberdrola para evitar este robo, describiéndolas como "objetivamente inadecuadas como consecuencia del hecho de que efectivamente se pudo producir el ataque y la brecha de seguridad tuvo lugar", y que el nivel de daños y perjuicios sufridos es alto, porque además del 1,3 millones de clientes, el robo también afectó a otros 1,6 millones de usuarios, como se explica en el expediente EXP202305587.
La AEPD responsabiliza asimismo a Iberdrola de no hacer evaluaciones de seguridad de sus sistemas desde 2019 y considera la vulnerabilidad "evitable e identificable", por lo que sanciona a I-DE con 3,5 millones de euros que deben sumarse a otros tres a la matriz Iberdrola S.A. de la que dependen sus comercializadora.