La cuenta de X de HackManac alertó la semana pasada de una brecha de datos en la compañía energética Naturgy: “El actor de amenazas conocido como ‘crocs’ afirma estar vendiendo una base de datos de 2,5 millones de filas exfiltradas de Naturgy. Según la publicación, la información sustraída incluye datos como DNI, nombre completo, IBAN, dirección, correo electrónico, etc”.
Escudo Digital se puso en contacto con Naturgy para recabar información sobre esta posible brecha de datos. La compañía declara que “valora de forma absolutamente prioritaria la seguridad de la información que gestiona, cuenta con importantes medidas de protección de la misma y analiza constantemente cualquier posible robo o acceso no autorizado”. “En base a dicho proceso constante de análisis, Naturgy confirma no haber sufrido una brecha de seguridad que amenace la información de sus clientes”, añadió.
El Reglamento General de Protección de Datos (RGPD) y la Ley de Protección de Datos (LOPDGDD) exigen que se notifiquen las brechas de seguridad a la autoridad de control, la Agencia Española de Protección de datos (AEPD), en un plazo máximo de 72 horas, cuando la brecha pueda comprometer los derechos y libertades de los interesados.
El caso de Iberdrola
Los intentos de ataque o los bulos sobre brecha de datos afecta especialmente al sector energético. La compañía Iberdrola ha sido objeto recientemente de amenazas por parte de un peligroso grupo de ransomware, como informó este diario. La banda Babuk listó a la empresa en su página de filtraciones este pasado lunes 24 de marzo.
En diciembre de 2018, los ordenadores de altos directivos de Naturgy recibieron un ciberataque selectivo. El origen fue el robo de contraseñas particulares. El ‘ladrón de claves’ amenazó con difundir la información que afirmaba poseer: correos electrónicos personales, documentos internos confidenciales, operaciones de fusiones y adquisiciones y objetivos estratégicos. El servicio estaba subcontratado a Capgemini, con quien se rompió la relación.
Naturgy tampoco se libra de los ataques de suplantación de identidad. El pasado año, el Instituto de Ciberseguridad (Incibe) alertó de una campaña de phishing que utilizaba el gancho de facturas falsas de Iberdrola, Endesa y Naturgy para infectar los dispositivos con el troyano bancario Grandoreiro.
Las obligaciones de la ley
Las empresas de suministros energéticos de electricidad y gas manejan un importante volumen de datos personales, por lo que están obligadas a comunicar cuando se produce una brecha de seguridad. Esos datos deben cumplir con las obligaciones recogidas. La cobertura tiene que incluir a clientes y empleados.
El RGPD y la LOPDGDD han fijado un régimen sancionador que impone la AEPD. Los factores que se analizan son la gravedad, tipo de infracción, duración en el tiempo, número de personas afectadas y la negligencia o intencionalidad de la infracción. No haber puesto las medidas necesarias para evitar una filtración de datos personales se considera infracción. Como ejemplo, en 2024, Iberdrola fue multada al pago de 6,5 millones de euros por el robo de datos de 1,3 millones de clientes en 2022.
