La multinacional energética Naturgy ha confirmado un ciberataque que no se ha producido en sus propios sistemas, sino en la infraestructura tecnológica de uno de sus proveedores.
El episodio ha consistido en un acceso indebido a una base de datos que almacenaba información sensible de clientes, incluyendo datos identificativos, detalles contractuales y referencias bancarias.
Las primeras estimaciones apuntan a que el alcance podría situarse en torno al 3% de los clientes comercializados por la compañía en España. Se trata de un porcentaje relevante en términos absolutos, teniendo en cuenta la amplia cartera de usuarios del grupo.
No obstante, la empresa ha precisado que la información comprometida no incluye contraseñas ni credenciales de acceso al área privada de clientes, lo que reduce el riesgo de accesos directos a cuentas personales.
Comunicación inmediata y activación de protocolos
Tras detectar la incidencia, la compañía activó sus mecanismos internos de respuesta ante incidentes de ciberseguridad. Entre las primeras actuaciones destaca la notificación a la Agencia Española de Protección de Datos, así como a las fuerzas y cuerpos de seguridad del Estado. Paralelamente, se procedió a informar a los clientes potencialmente afectados, trasladándoles recomendaciones específicas para reforzar su protección frente a posibles usos indebidos de sus datos.
El procedimiento seguido se ajusta a los estándares regulatorios en materia de protección de datos, que exigen rapidez en la comunicación y transparencia ante posibles brechas de seguridad. Este tipo de actuación resulta clave para limitar daños reputacionales y operativos en un entorno donde los incidentes digitales son cada vez más frecuentes.
Sin impacto en la operativa del grupo energético
Uno de los aspectos más relevantes del incidente es la ausencia de afectación sobre la actividad habitual de la compañía. Según las primeras conclusiones técnicas, la intrusión no ha comprometido los sistemas centrales ni la plataforma comercial de la empresa.
Esto implica que la gestión de contratos, el suministro energético y el funcionamiento de los servicios digitales continúan operando con normalidad. En este sentido, el incidente se circunscribe al entorno del proveedor externo, lo que refuerza la idea de que el riesgo en las cadenas de suministro digitales es uno de los principales vectores de ataque en la actualidad.
Refuerzo de medidas de seguridad y auditorías técnicas
Tras el incidente, la compañía ha intensificado sus controles de seguridad y ha implementado medidas correctoras adicionales. Entre ellas destacan la renovación de credenciales, el bloqueo preventivo de accesos sospechosos y la revisión de los protocolos de autenticación.
Además, se ha llevado a cabo una auditoría técnica sobre los sistemas del proveedor afectado con el objetivo de identificar el origen exacto de la intrusión. Este tipo de análisis resulta fundamental para evitar incidentes similares en el futuro y para reforzar los estándares de seguridad exigidos a terceros.
El caso pone de manifiesto la creciente importancia de supervisar no solo los sistemas propios, sino también los de empresas colaboradoras, especialmente cuando manejan información crítica.
En sectores estratégicos como el energético, donde la digitalización ha avanzado de forma acelerada, la superficie de exposición a riesgos también se ha ampliado de manera significativa.
Un contexto de aumento de ciberataques en grandes compañías
Este episodio se enmarca en una tendencia creciente de ataques dirigidos a grandes corporaciones a través de proveedores tecnológicos. En los últimos años, el incremento de este tipo de incidentes ha obligado a las empresas a replantear sus estrategias de ciberseguridad, incorporando controles más estrictos en toda la cadena de valor digital.
El uso de terceros para la gestión de datos, plataformas o servicios especializados aporta eficiencia, pero también introduce nuevos puntos de vulnerabilidad. Por ello, la gestión del riesgo asociado a proveedores se ha convertido en un elemento central dentro de las políticas de seguridad corporativa.
