BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Sanción a Iberdrola tras el robo de datos personales de 1,5 millones de clientes de I-DE y Curenergia

Joshua Llorach
Iberdrola leak

Protección de Datos sanciona a la matriz Iberdrola y su distribuidora eléctrica por la fuga de información que permitió la descarga durante 7 días de los datos personales de millones de clientes desde su servicio de gestión de expedientes de acometida.

Durante un tiempo nos preguntamos de dónde salía la información que permitía que muchas llamadas comerciales para vender cambios de comercializadora eléctrica o la instalación de placas solares, estuviesen personalizadas con los datos del cliente y del punto de suministro. Aunque la conclusión más lógica era pensar que podían tener origen en alguna filtración de datos personales en un incidente de seguridad, aún no había trascendido que algo así hubiese ocurrido en los sistemas de las grandes compañías eléctricas.

A día de hoy ya hay respuesta a esa pregunta. En el caso de Endesa, durante un tiempo alguien estuvo vendiendo a través de anuncios en Facebook, usuarios y claves de acceso para acceder a la herramienta utilizada por su red comercial para consultar información de clientes. Según Protección de Datos, que en diciembre de 2023 sancionó a la eléctrica con 6,1 millones, desde el 2021 se había estado traficando con los credenciales de la aplicación exponiendo información de 4,8 millones de clientes de electricidad y 1,2 millones de gas.

Fuga de datos en los sistemas de I-DE

Los clientes de Iberdrola tampoco se libran. En marzo de 2022 su distribuidora notificaba a los clientes afectados que había sido víctima de un ciberataque en el que habían quedado expuestos datos personales. En su comunicado1 aseguraba que los datos no incluían información bancaria o de consumo y que el incidente había sido subsanado. La empresa no facilitó más información en aquel momento.

Hoy conocemos la dimensión de este incidente gracias a la publicación de los 2 expedientes que la AEPD abrió a diferentes sociedades de la eléctrica y que ha concluido con un total de 6,5 millones de euros en sanciones.

La información protegida fue obtenida aprovechando una vulnerabilidad en el sistema de gestión de expedientes de acometida GEA1. Este es un servicio online donde los propietarios gestionan con la distribuidora eléctrica el alta de un nuevo punto de suministro. Una vez I-DE, la distribuidora eléctrica del grupo Iberdrola, da el visto bueno a la instalación de un inmueble, el cliente puede elegir comercializadora y contratar el servicio. Aunque la resolución de la AEPD ha eliminado los detalles, se entiende que un usuario debidamente identificado podía acceder a la información del resto de clientes modificando algún parámetro, lo que permitió el scrapping o la indexación automatizada de la información.

GEA I-DE
Consulta de datos de un expediente en GEA

Los datos empezaron a copiarse el 7 de marzo de 2022, pero no fue hasta 7 días después cuando se detectó y cerró el acceso. Para entonces, los atacantes habían copiado los datos de 1,35 millones de clientes de los 21 millones que tiene la distribuidora. Entre los datos obtenidos figuran el nombre y apellidos, dirección de correo electrónico, teléfono, dirección postal, DNI y código de cliente.

No solo los clientes de la distribuidora se vieron afectados, sino que la fuga afectó a otras empresas del grupo, como la comercializadora de último recurso Curenergía y la de mercado libre Iberdrola, con los datos de 1,55 y 1,515 millones de clientes filtrados respectivamente.

La AEPD culpa a Iberdrola de no hacer evaluaciones de seguridad de sus sistemas desde 2019 y considera la vulnerabilidad "evitable e identificable", por lo que sanciona a I-DE con 3,5 millones de € que se suman a otros 3 millones de sanción a la matriz Iberdrola S.A. de la que dependen sus comercializadoras.

  1. i-de.es/accesos-gestiones-online/gestion…s-acometidas
  2. aepd.es/documento/ps-00145-2023.pdf y aepd.es/documento/ps-00221-2023.pdf

💬 Comentarios

1
vukits
10

Con la RGPD en mano, se puede pedir 7% del volumen de negocio de Iberdrola.

Y no me salen las cuentas porque 1,5 millones es muchísimo menos que este 7%

🗨️ 1
D4v3
1

Por eso, Timodrola y cía seguirán sin gastarse pasta en ciberseguridad:

La multita es tan barata que ya está aprovisionada en el Presupuesto anual partida "travesuras".

EmuAGR
1

Otro de tantos, la AEPD tiene que ponerse las pilas a sancionar. Va a llegar un punto en que nos van a dar de alta préstamos en el banco para enviar el dinero a Panamá.

lordman

Poco me parece de multa pero si es mas de lo que pensaría que les podrían.

🗨️ 1
CMOr
4

Ahora falta que la paguen, y no prescriba sin cobrar o se la perdonen en unos años.

jpsmps

Muy bien, les ponen una multa.

Pero los clientes que ha sufrido las consecuencias del robo de datos, o que podrían sufrirlas, que realmente son los afectados ¿no tendrian que cobrar parte de esa multa, a repartir entre todos?

🗨️ 14
lhacc

Eso sería aplicar la lógica. Ellos prefieren que el dinero engorde los bolsillos de los de siempre.

Lo de que agencias como la AGPD, CNMC, etc puedan poner multas directamente clama al cielo.

🗨️ 11
Sokiev
4

Eso sería aplicar la lógica. Ellos prefieren que el dinero engorde los bolsillos de los de siempre.

¿Lógica? ¿Por qué? Multa != Indemnización

La multa se diseña (como digo en mi otro comentario) como efecto disuasorio. El derecho a indemnización por otro lado, se diseña como una contraprestación a un daño/desperfecto etc., no es lo mismo. Una empresa que lo haga mal deberá de, potencialmente, tener que hacer frente a una multa + una indemnización. Si te vas a un juicio de hurto (como los que a diario en muchos juzgados de España) verás que es común que se imponga una multa (X€/día) + resarcimiento a la víctima (devolución de importes, subsanación de daños/roturas, etc)

Luego, esa multa deberá de ser dedicada a financiar la labor del regulador (que menos mal que existe) y/o el "bien común" (gastos del estado, desde carreteras a hospitales etc.) - por lo dicho, porque la multa es un efecto disuasorio del regulador/estado/leyes.

Luego, eso no quita para que los damnificados, individual o colectivamente, decidan organizarse y denunciar su estado de víctimas y exigir una compensación por el daño recibido. En ese caso, sí que de acuerdo a la ley y proceso judicial, podrán recibir una u otra cuantía o decisión a su favor.

Lo de que agencias como la AGPD, CNMC, etc puedan poner multas directamente clama al cielo.

¿Por qué? Para eso existen. Supervisar y controlar que las empresas y sujetos con actividad económica no actúen en contra de la normativa/ley y, si lo hacen, investigar los hechos y aplicar la multa o penalización que la normativa/ley establezca. Noe s que puedan imponer lo que les de la gana ni que esto sea el lejano oeste, las reglas están claras y cada cual, incluida Iberdrola, saber lo que tiene que hacer y a lo que se atiene.

De hecho, es mucho mejor que estas agencias sean las "ejecutoras" de la labor de investigación y aplicación que no que fuera un proceso judicial con resolución de un juez que a lo mejor sabe de telecomunicaciones o sector de energía el 1% de lo que saben los miembros de la CNMC etc. - luego, no quita para que si una empresa está 200% segura de haber sido culpada sin razón o que pueda librarse, pueda recurrir a ciertas instancias para pelearlo.

El sistema tiene mejoras, como todo, pero no creo que esté mal de base.

🗨️ 10
lhacc

No estoy de acuerdo, especialmente con la segunda parte.

No me voy a explayar con argumentos porque seguro que te los imaginas.

Que una parte sea juez, jurado y verdugo es aberrante y propio de una república bananera. Antes de que alguien lo diga, sé que este tipo de agencias se ha normalizado en muchos países, y me sigue pareciendo aberrante.

🗨️ 9
Sokiev
2

No me los imagino, en mi caso es tan obvio que no me imagino otro escenario (más allá de que cada cuál tendrá sus opiniones; es como la política, entiendo que el que sea de derechas podrá ser pro-gobierno pequeño y que no haya controladores tipo CNMC/APD y que viva la fiesta; y el que sea de izquierdas podrá ser más cauteloso antes los grandes actores económicos y a favor de que haya controladores especializados supervisando y penalizando hechos relevantes). En el caso de España:

  • Existencia de agencias especializadas en este tipo de labores, en vez de derivarlo a la justicia común (que ya de por sí está hasta los topes) - CHECK
  • Existencia de una normativa base sobre la que se rigen, y que incluye las multas que se puede llegar a aplicar por cada uno de los hechos que pueden penalizar (lo que es fair play para las empresas: sabes desde el momento -1 a qué te atienes, sin dudas ni decisiones de un juez) - CHECK
  • Imposición de esas penalizaciones de acuerdo a las orquillas que se establecen y de acuerdo a la gravedad que consideren - CHECK
  • Posibilidad a rebatir y continuidad del derecho de las víctimas a exigir resarcimiento por estas u otras vías (judicial etc.) - CHECK

Además, lod e repartir la multa entre las víctimas es peligroso, en casos muy concretos, imagina que la multa máxima que establezca la normativa es inferior al "daño" que un colectivo pueda exigir como resarcimiento, qué haces, ¿"infra-multas" e "infra-compensas" a las víctimas? Imagina que la multa máxima fuera 100 millones, pero se arma una gordísima (un banco por ejemplo) donde hay fugas de datos muy personales, robo de cuentas de dinero etc. para millones de clientes - les dices a las víctimas "no puedo multar más de 100 millones, así que no esperéis más de 3€"?

Por eso Multa != Indemnización - la multa es algo "calculable" en el análisis de riesgos de una empresa a la hora de operar en una jurisdicción. La indemnización… no tanto, se calcula según lo que hayan hecho y el resultado de un proceso judicial con las leyes en la mano etc.,

No sé, me parece súper obvio, pero de nuevo reconozco que cada uno tendrá su opinión. Ya sé que este no es el foro para hablar de un tema tan denso (motivo por el que habiendo dejado la info, no continuaré el hilo jajaja, no hay más que rascar y no creo que nadie vaya a convencer a nadie de nada) pero me parecía interesante dar otro prisma al asunto.

🗨️ 7
lhacc
🗨️ 6
Sokiev
1
🗨️ 5
lhacc
1
🗨️ 4
Sokiev
1
🗨️ 2
lhacc
🗨️ 1
Sokiev
D4v3
1

Falso.

La sanción se puede recurrir ante la justicia contencioso-administrativa.

Sokiev
2

Son cosas distintas. El regulador impone una multa que se establece en base a una ley/reglamento y sirve de efecto disuasorio para que la empresa siga o evite un comportamiento.

Por ejemplo, si te dicen que como te pillen cogiendo el ascensor, te van a dar dos guantazos (por ley), seguro que te pensarás ir en escaleras - o arriesgarte y que un día te los den. Obviamente, aquí ya entra la discusión de, dependiendo cómo de exhaustivo sea el control y elevado el castigo, si es suficiente para que el efecto disuasorio triunfe. Por ejemplo, si en este caso nadie supervisa el ascensor, no hay cámaras y los vecinos pasan de ti, ¿dejarías de usar el ascensor? O si por robar un banco la multa máxima fuesen 100€, ¿no crees que habría más gente intentándolo?

Y ese dinero (si se decide que el efecto disuasorio sea económico, que en casos de empresas privadas es lo habitual), deberá de ser dedicado a la labor del regulador (que será quien haya encontrado/investigado el asunto y/o lleva a cabo trabajos continuos de supervisión, aunque se le escapen las cosas) y al presupuesto general del estado (bien colectivo, como cuando pagamos impuestos, IVA, IRPF, etc.)

Luego, por otro lado, está el perjuicio personal o colectivo de los afectados - ¿tienen derecho a indemnización? según el caso, puede que sí. Pero en tal caso, deberán de denunciar el caso (denunciar que se sienten damnificados y hacerse "visibles") y un juez decidirá la cuantía de la indemnización.

Así pues, una empresa puede recibir multa + indemnización a víctimas, pero no tendría sentido que fuese multa → reparto entre personas que podrían haberse visto afectadas. De hecho, de esa manera estarías reduciendo el coste total para la empresa (y estarías haciendo que el regulador/ley ya pre-estableciese la cuantía de indemnización por asuntos, algo que no debería en casos como RGPD)

🗨️ 1
D4v3

Déjalo, es perder el tiempo.

Los "anarcocapitalistas" del Estado mímimo (Justicia, Policía y Defensa para proteger la propiedad privada) son como los "terraplanistas".

Así va la democracia en Occidente devenida en iliberalismo en Hungría y Polonia hasta terminar en autocracias (Putania antes Rusia) o dictaduras (Xina antes China Popular).

Jim hay
1

Esto es España,no hay tiempo para hacer las cosas bien

Pero si para hacerlas dos veces, me han vulnerado y han expuesto a mis clientes , ahora ya me preocupo de hacer algo ,por que me han multado

pispiruto
4

Unos 4€ por dato filtrado. Una miseria para la facturación de Iberdrola, la verdad. Esa fuga le pasa a la empresa Paco, y le meten una multa, en proporción, impagable.

lordman
1

El problema de todo esto para mi es claro, robo de datos, hackeo, fuga… pagarle a algún empleado que tenga acceso, siempre va a haber, de una forma o de otra se van a seguir pillando datos.

Lo que se tenia que hacer es lograr que esos datos, al igual que las llamadas de las empresas comisionistas, no sirvan de nada. Cada empresa tendría que tener un único numero de contratación y que solo sean válidos los contratos que se pueda demostrar que el cliente ha sido el que ha llamado. Y si el contrato no se ha realizado siguiendo ese canal pues no solo resolución del contrato en cualquier momento, aunque hubiera permanencia, si no también que implicara la devolución al cliente de cada mensualidad pagada.

ntmjias
1

No va a pagar al igual que no paga el resto, recurrirá la multa hasta el tribunal estelar galáctico.

La noticia sería que iberdrola es condenado en firme a pagar una multa x, y el dinero sale de su cuenta.

Metanselo ennla cabeza que muchas de las grande compañías no pagan las multas que ponen los reguladores.

Recurren a los tribunales de sus amigos. La justicia no es igual para todos. Creen que los amigos de los jueces son cajeras de supermercado, o albañiles?

Mikker

Me parece poco para los miles de millones que ganan y el daño que puede hacer esa fuga de datos.

1