Protección de Datos sanciona a la matriz Iberdrola y su distribuidora eléctrica por la fuga de información que permitió la descarga durante 7 días de los datos personales de millones de clientes desde su servicio de gestión de expedientes de acometida.
Durante un tiempo nos preguntamos de dónde salía la información que permitía que muchas llamadas comerciales para vender cambios de comercializadora eléctrica o la instalación de placas solares, estuviesen personalizadas con los datos del cliente y del punto de suministro. Aunque la conclusión más lógica era pensar que podían tener origen en alguna filtración de datos personales en un incidente de seguridad, aún no había trascendido que algo así hubiese ocurrido en los sistemas de las grandes compañías eléctricas.
A día de hoy ya hay respuesta a esa pregunta. En el caso de Endesa, durante un tiempo alguien estuvo vendiendo a través de anuncios en Facebook, usuarios y claves de acceso para acceder a la herramienta utilizada por su red comercial para consultar información de clientes. Según Protección de Datos, que en diciembre de 2023 sancionó a la eléctrica con 6,1 millones, desde el 2021 se había estado traficando con los credenciales de la aplicación exponiendo información de 4,8 millones de clientes de electricidad y 1,2 millones de gas.
Fuga de datos en los sistemas de I-DE
Los clientes de Iberdrola tampoco se libran. En marzo de 2022 su distribuidora notificaba a los clientes afectados que había sido víctima de un ciberataque en el que habían quedado expuestos datos personales. En su comunicado1 aseguraba que los datos no incluían información bancaria o de consumo y que el incidente había sido subsanado. La empresa no facilitó más información en aquel momento.
Hoy conocemos la dimensión de este incidente gracias a la publicación de los 2 expedientes que la AEPD abrió a diferentes sociedades de la eléctrica y que ha concluido con un total de 6,5 millones de euros en sanciones.
La información protegida fue obtenida aprovechando una vulnerabilidad en el sistema de gestión de expedientes de acometida GEA1. Este es un servicio online donde los propietarios gestionan con la distribuidora eléctrica el alta de un nuevo punto de suministro. Una vez I-DE, la distribuidora eléctrica del grupo Iberdrola, da el visto bueno a la instalación de un inmueble, el cliente puede elegir comercializadora y contratar el servicio. Aunque la resolución de la AEPD ha eliminado los detalles, se entiende que un usuario debidamente identificado podía acceder a la información del resto de clientes modificando algún parámetro, lo que permitió el scrapping o la indexación automatizada de la información.
Los datos empezaron a copiarse el 7 de marzo de 2022, pero no fue hasta 7 días después cuando se detectó y cerró el acceso. Para entonces, los atacantes habían copiado los datos de 1,35 millones de clientes de los 21 millones que tiene la distribuidora. Entre los datos obtenidos figuran el nombre y apellidos, dirección de correo electrónico, teléfono, dirección postal, DNI y código de cliente.
No solo los clientes de la distribuidora se vieron afectados, sino que la fuga afectó a otras empresas del grupo, como la comercializadora de último recurso Curenergía y la de mercado libre Iberdrola, con los datos de 1,55 y 1,515 millones de clientes filtrados respectivamente.
La AEPD culpa a Iberdrola de no hacer evaluaciones de seguridad de sus sistemas desde 2019 y considera la vulnerabilidad "evitable e identificable", por lo que sanciona a I-DE con 3,5 millones de € que se suman a otros 3 millones de sanción a la matriz Iberdrola S.A. de la que dependen sus comercializadoras.
