Iberdrola, ¿nueva víctima de ciberataque?
El gigante energético español Iberdola podría haber recibido un ciberataque y haber sido víctima de un peligroso grupo de ransomware.
La banda de ciberdelincuentes Babuk ha listado a la empresa en su página de filtraciones este pasado lunes 24 de marzo.
"Todavía les estamos dando la oportunidad de negociar sobre ello y esperamos su respuesta. Si no la obtenemos publicaremos la información de 2TB que incluye documentos sensibles de la empresa", amenaza la banda.
Por el momento se desconoce qué detalles ha obtenido el actor de amenazas y cuál es el rescate que ha exigido a la organización.
Los cibermalos
Según se hace eco INCIBE, el ransomware como servicio (RaaS) Babuk, también conocido como Babuk Locker, apareció por primera vez a principios de 2021. Al grupo también se le ha conocido como Fancy Gang, Vasa locker o Baby.
Esta operación ha apuntado principalmente contra organizaciones de atención médica, telecomunicaciones, banca, finanzas, educación, gobierno e infraestructuras críticas, como es el caso de Iberdrola.
Babuk ha evolucionado en los últimos años y hace un par de ellos se lanzó una cepa denominada Tortilla, de la cual se creó un descifrador tras arrestar a un actor de amenazas involucrado con la operación en Ámsterdam.
A principios de año varios investigadores especulaban con el retorno del grupo tras descubrirse un DLS. Así, empresas como Cyjax bautizaron a esta nueva formación como Babuk2 o Babuk-Bjorka.
Desde Escudo Digital nos pusimos inmediatamente en contacto con el departamento de prensa de la compañía energética para conocer más detalles sobre lo ocurrido y un día después, en el mediodía del 26 de marzo, negaron estos hechos: "Iberdrola niega que haya habido una brecha de seguridad y una filtración de datos".
La ciberseguridad de Iberdrola en entredicho
Más allá de este hecho puntual, la historia reciente de Iberdrola en el ámbito de la ciberseguridad está compuesta por un largo historial de robos de información que han tenido final feliz para los intereses de los ciberdelincuentes.
Por un lado, ahora hace diez meses Iberdrola remitió una comunicación a sus bases de datos reconociendo haber sido víctima de un ciberataque por el que le fueron sustraídos datos de más de 850.000 clientes -inicialmente se reconocieron 650.000, aunque faltaban por añadir los clientes de Curenergia, su empresa en el mercado regulado-, si bien, como defendían desde la energética, entre estos no se encontraban claves o datos bancarios, sino datos personales como nombres o DNI.
Iberdrola detectó dicho ataque, "un acceso no autorizado a las bases de datos de clientes ocasionado a través de un proveedor", el 7 de mayo del pasado año, si bien el ataque se produjo dos días antes.
También en 2024, en este caso en el mes de abril, la compañía presidida por Ignacio Galán fue condenada a pagar 6,5 millones de euros por el robo de datos de 1,3 millones de clientes tras la brecha de seguridad detectada el 15 de marzo de 2022. Iberdrola sufrió entonces un sonadísimo robo de datos en el cual le fue sustraída información sensible de 1,3 millones de clientes. Tal y como entonces explicó la empresa, la víctima había sido I-DE Redes Eléctricas Inteligentes, la distribuidora de electricidad del grupo, y ya en aquel momento la actuación de la energética a la hora de hacer frente a este ciber incidente fue muy cuestionada por distintos motivos, como el excesivo tiempo que se tomó para comunicar el ciberataque a los clientes afectados.
Ya el año pasado se conoció lo que realmente había sucedido tras la publicación de los dos expedientes que la Agencia Española de Protección de Datos (AEPD) abrió a diferentes sociedades de la eléctrica y que concluyó con un total de 6,5 millones de euros en sanciones. Desde la AEPD consideraron insuficiente las medidas de seguridad de las que disponía Iberdrola para evitar este robo, describiéndolas como "objetivamente inadecuadas como consecuencia del hecho de que efectivamente se pudo producir el ataque y la brecha de seguridad tuvo lugar".
Y además, una campaña de suplantación de Iberdrola
Pero eso no es todo. Y es que más allá de este historial, también en los últimos días la compañía ha sido víctima de una campaña de suplantación de identidad en los últimos días a cargo del troyano Grandoreiro, tal y como ha reportado la compañía de ciberseguridad ESET.
Los ciberdelincuentes han puesto en marcha el envío de correos con el membrete de Iberdrola, utilizada como cebo, con el fin de propagar enlaces maliciosos aludiendo a una supuesta factura de una cantidad desorbitada de dinero.
Normalmente, cuando se usa este tipo de estrategias, tal y como comentan desde ESET, lo que se busca es causar preocupación en el destinatario para que reaccione pulsando de forma impulsiva sobre el enlace o fichero adjunto proporcionado.
Si un usuario pulsa sobre el enlace que se incluye en el correo será redirigido a una web preparada por los delincuentes donde se muestra la opción de descargar un documento PDF y se adjunta una contraseña para poder descomprimirlo. Si se comete el error de introducir los datos que nos solicitan, dichos datos acabarán en manos de los ciberdelincuentes.