Hace dos años largos la multinacional eléctrica Iberdrola sufrió un ciberataque que supuso el robo de datos de 1,3 millones de clientes. Ahora la AEPD acaba de publicar la multa millonaria que impone al gigante energético.
Según la Oficina de Seguridad del Internauta, en la primavera de 2022 una banda de ciberdelincuentes extrajo información privada de la base de clientes de Iberdrola: nombres y apellidos, números de DNI, teléfonos y direcciones de correo. Con el paso de los meses, los afectados empezaron a recibir llamadas y correos comerciales que denotaban que sus datos habían quedado expuestos.
De pronto hubo una avalancha de contactos comerciales, sobre todo por vía telefónica, para vender cambios de suministro eléctrico, sospechosamente personalizadas con los datos del cliente. Los clientes de Iberdrola pronto salieron de dudas. En marzo de 2022 su compañía de luz y gas admitió públicamente haber sufrido un ciberataque con vulneración de información personal. En su comunicado garantizaba que la brecha no afectaba a los datos bancarios ni de consumo. Iberdrola se explayó más en aquel primer momento.
La AEPD multa a Iberdrola con 6,5 millones por no proteger a sus clientes
La correspondiente multa de la Agencia Española de Protección de Datos acaba de hacerse pública. La AEPD ha emitido la resolución de los procedimientos sancionadores relativos a la empresa Iberdrola. En consecuencia sabemos que los importes exigidos a la energética ascienden a 6,5 millones de euros.
La AEPD multa a Iberdrola por no supervisar la seguridad de sus sistemas desde el año 2019. Describe la vulnerabilidad como «identificable y evitable», por lo que sanciona a la empresa de distribución eléctrica del Grupo Iberdrola (i-DE) con 3,5 millones de euros. Por añadidura impone otra sanción de 3 millones a la matriz Iberdrola S.A., que gestiona la comercialización.
Cómo sucedió el ciberataque en marzo de 2022
El asalto informático empezó a principios de marzo de hace dos años, como informó la revista Red Seguridad, aunque no se descubrió hasta el 15 de ese mes. Los datos empezaron a duplicarse el 7 de marzo de 2022, pero no fue hasta una semana después cuando se localizó y bloqueó la intrusión. En aquel momento los delincuentes ya tenían los información personal de 1,3 millones de clientes de los 21 millones que posee Iberdrola.
Iberdrola comunicó a todos sus clientes haber sufrido un ciberataque que había vulnerado el nombre, apellidos, DNI, domicilio, número de teléfono y correos electrónicos de una elevada cantidad de usuarios. Añadía que «tan pronto como tuvo conocimiento de ello», notificó a la Brigada Central de Investigación Tecnológica de la Policía Nacional y a la Agencia Española de Protección de Datos. Es precisamente la AEPD la entidad que dos años después ha multado a Iberdrola con 6 millones y medio de euros por haber desprotegido a sus clientes.
Archivado en:
