La cuenta de X de HackManac alerta de una brecha de datos en la compañía energética Naturgy: “El actor de amenazas conocido como ‘crocs’ afirma estar vendiendo una base de datos de 2,5 millones de filas exfiltradas de Naturgy. Según la publicación, la información sustraída incluye datos como DNI, nombre completo, IBAN, dirección, correo electrónico, etc”.
Escudo Digital se puso en contacto con Naturgy para intentar, sin éxito al cierre de esta edición, recabar información sobre esta posible brecha de datos. El Reglamento General de Protección de Datos (RGPD) y la Ley de Protección de Datos (LOPDGDD) exigen la notificación de las brechas de seguridad a la autoridad de control, la Agencia Española de Protección de datos (AEPD), en un plazo máximo de 72 horas, cuando la brecha pueda comprometer los derechos y libertades de los interesados.
HackManac, la fuente de la información, es una compañía de ciberseguridad con sede en Dubái que monitoriza el comportamiento y la evolución de las ciberamenazas globales reales.
🚨Data Breach Alert‼️
— HackManac (@H4ckManac) April 3, 2025
🇪🇸Spain - Naturgy
The threat actor known as "crocs" claims to be selling a database of 2.5 million rows exfiltrated from Naturgy.
According to the post, the stolen information includes data such as DNI, full name, IBAN, address, email, etc. pic.twitter.com/mabvKSyzYv
El caso de Iberdrola
La compañía Iberdrola ha sido objeto recientemente de amenazas por parte de un peligroso grupo de ransomware, como informó este diario. La banda Babuk listó a la empresa en su página de filtraciones este pasado lunes 24 de marzo.
“Todavía les estamos dando la oportunidad de negociar sobre ello y esperamos su respuesta. Si no la obtenemos publicaremos la información de 2TB que incluye documentos sensibles de la empresa”, dijeron los ciberdelincuentes. Se desconoce qué detalles pudieron obtener y el rescate exigido.
En diciembre de 2018, los ordenadores de altos directivos de Naturgy recibieron un ciberataque selectivo. El origen fue el robo de contraseñas particulares. El ‘ladrón de claves’ amenazó con difundir la información que afirmaba poseer: correos electrónicos personales, documentos internos confidenciales, operaciones de fusiones y adquisiciones y objetivos estratégicos. El servicio estaba subcontratado a Capgemini, con quien rompió la relación.
Naturgy tampoco se libra de los ataques de suplantación de identidad. El pasado año, el Instituto de Ciberseguridad (Incibe) alertó de una campaña de phishing que usaba como gancho facturas falsas de Iberdrola, Endesa y Naturgy para infectar los dispositivos con el troyano bancario Grandoreiro.
Lo que dice la ley
Las empresas de suministros energéticos de electricidad y gas manejan un importante volumen de datos personales, por lo que están obligadas a comunicar cuando se produce una brecha de seguridad.
Esos datos, considerados de categoría genérica (identificativos, bancarios…), deben cumplir con las obligaciones recogidas en la LOPDGDD y el RGPD. Esa cobertura ha de incluir a clientes y empleados.
Antes de llevar a cabo cualquier tipo de tratamiento de datos personales, es necesario llevar a cabo un análisis de riesgos para determinar qué tipo de amenazas existen y cuál ha de ser el diseño de las medidas de seguridad precisas. Cuando se van a tratar datos personales a gran escala, de manera sistemática y automatizada, como sucede con las compañías energéticas, es obligatorio realizar una evaluación de impacto de protección de datos (EIPD).
Protocolo y sanciones
Ante la posibilidad de que las medidas tomadas no sean suficientes para frenar una brecha de datos, se debe tener implementado un protocolo para resolver el incidente y para comunicar el suceso a la AEPD y a los interesados afectados en el menor tiempo posible.
El RGPD y la LOPDGDD establecen un régimen sancionador que impone la AEPD. Los factores que se analizan son la gravedad, tipo de infracción, duración en el tiempo, número de personas afectadas y la negligencia o intencionalidad de la infracción. No haber puesto las medidas necesarias para evitar una filtración de datos personales se considera infracción. Como ejemplo, en 2024, Iberdrola fue multada al pago de 6,5 millones de euros por el robo de datos de 1,3 millones de clientes en 2022.
