El ciberataque a Iberdrola sale caro: recibe una multa de 6,5 millones de euros

Una vez más, el robo de datos personales sacar a relucir que las compañías tienen que trabajar más para evitar estos ciberataques. Hace prácticamente algo más de dos años, se supo de la gran fuga de datos de más de 1,3 millones de clientes de la compañía de electricidad y energía. Una de esas filtraciones que con el tiempo los usuarios notaron al recibir llamadas comerciales con cada uno de sus datos como cliente de Iberdrola. Ahora, ya se conoce la sanción de la Agencia Española de Protección de Datos.

Hace ya más de dos años saltó la noticia: un ciberataque expuso los datos sensibles de 1,3 millones de clientes. Así lo confirmaron desde la compañía española: «Hemos sufrido un ciberataque a nuestros sistemas de información. El incidente, ya subsanado, tuvo como resultado el acceso a los datos de algunos de nuestros clientes«. Y tras conocer esta incidencia, siguieron recibiendo ataques masivos, aunque estos sí que se pudieron frenar en el momento.

Los datos expuestos a raíz de este ataque fueron: nombres y apellidos, DNI, domicilios, números de teléfono, códigos cliente y direcciones de correo electrónico. Por lo que no se encontraban otros datos como la información bancaria o de consumo de los diferentes clientes de la empresa.

Sanciones a Iberdrola de la AEPD

La AEPD ha publicado la resolución de los procedimientos sancionadores sobre la compañía Iberdrola, que hasta el momento estaban pendiente de resolución. Por esto mismo, ya se conocen las cuantías a las que deberán hacer frente desde la empresa de luz y gas española: hasta un total de 6,5 millones de euros.

De primeras, imponen a i-DE Eléctricas Inteligentes, S.A.U., por infringir el artículo 5.1.f) del RGPD en el artículo 83.5 del RGPD una multa de 2,5 millones de euros, además de otro millón de euros por otra infracción del Artículo 32 del RGPD, tipificada en el Artículo 83.4 del RGPD.

Además de esto, hay que sumar las cuantías que imponen a Iberdrola de hasta 3 millones de euros tras la resolución de otros de los procedimientos. En este último caso, las multas son de 1 millón (infracción del Artículo 32 del RGPD, dentro del Artículo 83.5 del RGPD) y 2 millones de euros («infracción del Artículo 5.1.f) del RGPD, tipificada en el Artículo 83.5 del RGPD«).

Cómo fue el robo de datos

El robo de estos datos sensibles de los clientes de la empresa española se bastó de una vulnerabilidad en el sistema de gestión de expedientes del portal GEA de i-DE. Este se encarga de gestionar «los expedientes de acometida de luz tanto para consumo como para producción«. Por lo tanto, el problema comenzó a principios de marzo de hace dos años, aunque no se detectó hasta el 15 de ese mes.

Por lo que durante 7 días estuvieron copiando la información de más de 1 millón de clientes de la empresa (la compañía tiene un total de más de 20 millones de usuarios). Y únicamente no afecta a los clientes de Iberdrola, también a otras comercializadoras como Curenergía.

Desde la AEPD dejan clara su postura respecto a las medidas de seguridad, ya que consideran, en definitiva, que las «medidas eran objetivamente inadecuadas como consecuencia del hecho de que
efectivamente se pudo producir el ataque y la brecha de seguridad tuvo lugar«. En cualquier caso, consideran que el nivel de daños y perjuicios sufridos es alto, y todo porque el robo afecto no solo a 1,35 millones de clientes, sino también a otros 1,6 millones de usuarios, como se explica en el expediente EXP202305587.

Fuente: AEPD | AEPD | adslzone