Un ciberataque dejó al descubierto los datos de 1,3 millones de clientes
Ciberseguridad
¿Están seguros nuestros datos personales en los ficheros de las empresas?
El cifrado de los datos de los clientes afectados por el hackeo a Iberdrola hubiera evitado su robo. La Agencia de Protección de Datos investiga el ciberataque
El pasado 15 de marzo los sistemas informáticos de Iberdrola sufrieron un ciberataque que comprometió los datos personales de 1,3 millones de sus clientes. Sus nombres, documentos de identidad, teléfonos y correos electrónicos fueron sustraídos. Dos semanas después, la compañía enviaba un email a los clientes afectados en el que les informaba de ataque.
«Hemos sufrido un ciberataque a nuestros sistemas de información. El incidente, ya subsanado, tuvo como resultado el acceso a los datos de algunos de nuestros clientes», asegura I-DE, distribuidora de electricidad del grupo Iberdrola. En el comunicado –al que ha tenido acceso El Debate– la empresa destaca que «en ningún caso (los autores del ataque) han tenido acceso a datos financieros ni de consumo eléctrico».
Detalle del comunicado enviado por Iberdrola a sus clientes afectados
Aun así, la información sustraída es sensible para los afectados. «Los datos robados estaban en crudo», dice Jesús F. Rodríguez- Aragón, experto en ciberseguridad y cofundador de Iberbox. «Si Iberdrola hubiera cifrado los datos de sus clientes, esa vulnerabilidad quedaría en nada. Los atacantes podrían haberlos borrado, pero nunca hubieran podido acceder a ellos», cuenta.
A través de la documentación robada, los ciberdelincuentes pueden utilizar los datos de contacto de los usuarios y conocer su dirección postal. «Esos datos unidos, pueden ser peligrosos», dice el experto.
Una vez detectado el ataque, la energética informó de lo ocurrido a la Agencia de Protección de Datos (AEPD) e interpuso una denuncia ante la Policía Nacional. Tras ello, la AEPD abrió una investigación con la que pretende descubrir si Iberdrola hizo todo lo posible por proteger la información de sus usuarios o si, por el contrario, no aplicó los protocolos exigidos por la normativa.
El cifrado de los datos hubiera evitado su sustracción
«Estas cosas nos recuerdan que la ciberseguridad es mucho más importante de lo que pensamos», apunta Fernández, que destaca la importancia del mundo online, «solo nos preocupamos del físico, cuando ambos son igual de importantes».
Las brechas se abren a diario, y nuestros datos e informaciones son más vulnerables de lo que pensamos. La fragilidad se extiende a las administraciones públicas e incluso traspasan las fronteras españolas. «La Unión Europea vuelca todos sus datos en nubes que ni siquiera son europeas», dice desde Iberbox Jesús F. Rodríguez- Aragón, que recuerda que «cuando subimos un fichero a la nube, los trasladamos al disco duro de un tercero. Si esos documentos no están cifrados, quedan totalmente expuestos».
El experto apunta a que las instituciones comunitarias utilizan Google Drive, Dropbox, Onedrive (Microsoft) o Box.com como servidores de almacenamiento y «toda esa información está subida en ficheros sin cifrar».
El pasado 24 de marzo la página web del Congreso de los Diputados estuvo varias horas caída. Un ciberataque inutilizó durante toda una mañana la principal vía de acceso de los ciudadanos a la Cámara Baja. Semanas antes, Toyota se vio obligada a detener la actividad de sus plantas en Japón por el mismo motivo.
