La companyia avisa que, entre el 5 i el 7 de maig, un dels seus proveïdors va patir un ciberatac que va suposar l’accés parcial a dades de clients. S’han filtrat dades personals, però potser també financeres.

Iberdrola ha comunicat a les últimes hores als seus clients l’accés no autoritzat a dades personals de més de 850.000 clients. En un correu electrònic enviat a usuaris, al qual ha accedit aquest diari, la companyia avisa que entre el 5 i el 7 de maig «un dels nostres proveïdors va patir un atac que va suposar l’accés parcial a dades dels nostres clients.» Iberdrola assegura que l’incident va ser resolt «de manera immediata i va afectar les dades següents: nom, cognoms, número de DNI i dades de contacte» de més de 850.000 persones, tal com també confirmen a aquest diari fonts de la companyia. Tanmateix, fonts coneixedores del que va succeir, asseguren a aquest diari que hi pot haver més clients i dades involucrades de les reconegudes oficialment per l’empresa.En el comunicat als clients, Iberdrola assegura que «tan aviat com es va detectar l’atac, el vam neutralitzar i vam activar mesures de reforç per evitar la seva repetició. A més a més, vam informar dels fets a les autoritats competents, entre elles l’Agència Espanyola de Protecció de Dades.»Durant els dies previs al comunicat enviat avui per Iberdrola, aquest diari ha pogut comprovar que les dades filtrades en aquest nou ciberatac ja estaven circulant a la venda per diversos fòrums al web fosc  i grups de Telegram. En concret, un paquet d’1,5 Gb de dades personals ja estava a la venda en un grup conegut de venda de bases de dades a Telegram. Com es pot veure a la imatge següent, aquest diari va poder accedir a una part d’aquestes dades, de les quals el venedor assegurava que procedien d’un nou atac i filtració de dades d’Iberdrola.

Iberdrola assegura que les dades filtrades corresponen a 850.000 clients. La informació que circula a la venda a la xarxa apunta a 1,3 milions de registres. Fonts coneixedores del ciberatac asseguren a aquest diari que, en realitat, estaríem parlant de més de 850.000 afectats i, sobretot, no només hi hauria dades personals compromeses. Segons aquestes fonts, suposadament, també s’haurien filtrat dades financeres, principalment comptes corrents.

El nou ciberatac patit per Iberdrola s’uneix a un altre greu que va succeir el març de 2022, en què Iberdrola va reconèixer la filtració de dades d’1,3 milions de clients. En aquesta ocasió, els ciberdelinqüents també van robar amb els noms i cognoms, números de DNI, telèfons i adreces de correu dels usuaris. Mesos després, van començar a rebre trucades i correus comercials no sol·licitats, una prova que aquestes dades s’havien posat a la venda i s’havien començat a explotar. Per aquell atac, l’Agència Espanyola de Protecció de Dades (AEPD) va multar Iberdrola amb 6,5 milions d’euros, en una de les sancions més grans que mai no han estat imposades per l’organisme. Després d’una investigació exhaustiva, l’AEPD va concloure que Iberdrola no havia supervisat de manera correcta els seus sistemes des de l’any 2019. Als seus informes, l’AEPD va qualificar la vulnerabilitat com a identificable i evitable.»