Enésimo golpe en modo de ciberataque al sector energético tras conocerse una nueva filtración masiva de datos de Iberdrola. En esta ocasión eso sí, el incidente no se ha producido directamente en los sistemas de la eléctrica, sino en los de uno de sus socios comerciales, Zirconite, lo que vuelve a evidenciar un patrón cada vez más habitual: el uso de proveedores como puerta de entrada para comprometer a grandes corporaciones.
Un ataque indirecto que compromete a miles de usuarios
La compañía ha confirmado una brecha de seguridad que afecta a unas 150.000 personas. El origen del incidente se sitúa en Zirconite, una empresa colaboradora encargada de tareas comerciales en varias regiones, entre ellas Cataluña, Aragón, Baleares, Canarias y parte de la zona centro.
Este tipo de ataques, conocidos como compromisos de la cadena de suministro, están creciendo con rapidez en los últimos años. Los ciberdelincuentes identifican eslabones más vulnerables dentro del ecosistema empresarial y los utilizan como vía de acceso a información sensible que, de otro modo, sería mucho más difícil de obtener.
Según los detalles conocidos, un actor bajo el alias _py habría difundido los registros en un foro frecuentado por ciberdelincuentes, facilitando así el acceso a terceros interesados en explotar esta información.
Qué datos han quedado expuestos
La gravedad del incidente no reside únicamente en el volumen de afectados, sino en la naturaleza de los datos comprometidos. La filtración incluye un conjunto de información que permite construir perfiles muy completos de los usuarios.
Entre los datos expuestos se encuentran identificadores personales como nombre completo, DNI o NIF, así como información de contacto como teléfono, correo electrónico o localidad de residencia. A esto se suma información bancaria relacionada con la domiciliación de recibos, lo que incrementa de forma notable el riesgo de fraude.
También figuran datos técnicos del suministro eléctrico, como el código CUPS, la tarifa contratada o la potencia instalada. Este tipo de información, aunque menos crítica a primera vista, puede ser utilizada para reforzar ataques de ingeniería social mucho más creíbles.
En algunos casos, los registros incluirían documentación asociada al proceso de contratación, como grabaciones de verificación telefónica o archivos contractuales en formato digital.
No solo clientes actuales
Uno de los aspectos más relevantes del ciberataque a Iberdrola es que no se limita a usuarios activos. De los 150.000 registros filtrados, aproximadamente 20.000 corresponden a clientes que mantienen actualmente contrato con la energética.
El resto, unos 130.000 casos, afecta a antiguos clientes que en algún momento estuvieron vinculados a la compañía a través del proveedor afectado. Esto amplía significativamente el alcance del problema, ya que muchas de estas personas podrían no tener relación actual con la empresa y, por tanto, estar menos alerta ante posibles intentos de fraude.
Este fenómeno pone de manifiesto la importancia de la gestión del ciclo de vida de los datos, especialmente en sectores donde la retención de información histórica es habitual por motivos contractuales o regulatorios.
El papel de los proveedores en la ciberseguridad
El incidente vuelve a subrayar una realidad que muchas grandes compañías parecen ignorar: su nivel de exposición no depende únicamente de sus propios sistemas. La seguridad de terceros se ha convertido en un factor crítico.
Empresas como Zirconite manejan información sensible en fases clave del proceso comercial, desde la captación hasta la formalización de contratos. Esto las convierte en objetivos prioritarios para los atacantes, que buscan maximizar el impacto con el menor esfuerzo técnico.
En este contexto, los expertos insisten en la necesidad de reforzar las auditorías de seguridad, establecer requisitos estrictos para proveedores y aplicar modelos de confianza cero que limiten el acceso a datos sensibles.
Reacción de Iberdrola
Desde la energética se ha trasladado que sus sistemas internos no han sido comprometidos y que no existen indicios de acceso no autorizado a sus infraestructuras. La empresa ha iniciado contactos con el proveedor afectado para recabar información detallada y evaluar el alcance real del incidente.
En paralelo, la normativa vigente obliga a notificar este tipo de brechas en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos, siempre que exista riesgo para los derechos y libertades de las personas afectadas.
Este tipo de incidentes también puede derivar en sanciones económicas si se detectan fallos en las medidas de protección o en la gestión de terceros.
Qué deben hacer los afectados
Ante una filtración de estas características, la recomendación principal es adoptar una actitud preventiva. Revisar los movimientos bancarios durante las semanas posteriores resulta clave para detectar posibles cargos no autorizados.
También es fundamental extremar la precaución ante llamadas o correos electrónicos inesperados que soliciten información personal. Los atacantes suelen aprovechar estos datos para lanzar campañas de suplantación mucho más sofisticadas.
El uso de autenticación en dos factores, el cambio periódico de contraseñas y la verificación directa con la entidad ante cualquier comunicación sospechosa son medidas que pueden reducir significativamente el riesgo.
