Iberdrola ha enviado a sus clientes un comunicado informando sobre un ciberataque que ha comprometido los datos de 850.000 personas y alertándoles sobre las precauciones que deben tomar si reciben solicitudes sospechosas de información confidencial.

Según fuentes de la compañía, los ‘hackers’ accedieron a uno de los archivos que recopilan datos de clientes entre el 5 y el 7 de mayo, explotando una vulnerabilidad en los sistemas de seguridad de un proveedor externo del gigante eléctrico. El ciberataque afectó a los datos del 8% de sus usuarios: 600.000 de Iberdrola Clientes, su filial del mercado libre, y otros 250.000 de Curenergía, su comercializador de mercado regulado.

Aunque la información exfiltrada no incluye contraseñas, claves personales o números de cuentas, los datos de identificación personal son valiosos para los delincuentes, quienes podrían utilizarlos para realizar ciberataques de ‘phishing’ contra los clientes, suplantando la identidad de Iberdrola para obtener claves y contraseñas.

El comunicado oficial: qué datos han robado en el ciberataque a Iberdrola

Este es el comunicado enviado a sus clientes:

Hola XXXX:

Iberdrola Clientes concede máxima importancia a todos los aspectos relacionados con la ciberseguridad y protección de datos, aplicando los máximos estándares de seguridad.

A pesar de nuestros esfuerzos, te informamos de que entre el 5 y el 7 de mayo pasados, uno de nuestros proveedores sufrió un ciberataque que supuso el acceso parcial a datos de nuestros clientes.

El incidente, que fue subsanado de forma inmediata, afectó a los siguientes datos: nombre, apellidos, número de DNI y datos de contacto.

Tan pronto detectamos el ataque, lo neutralizamos y activamos medidas de refuerzo para evitar su repetición. Adicionalmente, pusimos los hechos en conocimiento de las autoridades competentes, entre ellas la Agencia Española de Protección de Datos.

Te recomendamos que tengas en cuenta las siguientes medidas de prevención:

• Presta especial atención a los correos electrónicos o mensajes de telefonía móvil que no cuenten con una identificación clara del remitente cuando te pidan información reservada como tu número de cuenta, datos de tarjetas de pago o claves de acceso a servicios. Ni Iberdrola ni ninguna otra empresa del grupo te los va a solicitar por estos medios.
• No abras enlaces incluidos en correos electrónicos, mensajes de telefonía móvil o servicios de mensajería instantánea a menos que tengas plena confianza en su procedencia.
• Ponte en contacto con tu operador de telefonía móvil si observas alguna incidencia.

Para cualquier cosa que necesites, estamos a tu disposición en el teléfono gratuito 900 600 230, en nuestros Puntos de Atención y en la dirección de correo electrónico: ConsultasProteccionDeDatos@tuiberdrola.es. Adicionalmente, puedes acceder a consejos de seguridad online aquí.

Recibe un cordial saludo,

Iberdrola Clientes

Venta de datos en la dark web

En diferentes foros de Telegram y otras plataformas de ‘hackers’ de la dark web ya está a la venta la información sustraída. Los delincuentes aseguran haber robado 1,5 gigabytes de información, tal y como han confirmado fuentes de la seguridad del Estado.