En las últimas semanas, grandes empresas españolas han sido blanco de ciberataques que han comprometido datos de miles de clientes. Ayer, Iberdrola notificó a 850,000 de sus clientes que su información personal había sido vulnerada, sumándose a Telefónica y Banco Santander, que también fueron víctimas de filtraciones recientes.
Estos incidentes de ciberseguridad, aunque no han comprometido información extremadamente sensible que permita realizar transacciones fraudulentas, han generado alarma en todo el sector económico. Una característica común en los casos de Banco Santander e Iberdrola es que el acceso no autorizado se produjo a través de proveedores externos que gestionan datos para las empresas.
Un sector en guardia permanente
Las últimas 48 horas han sido especialmente intensas en un sector que ya estaba en alerta desde el inicio de la guerra en Ucrania. HackManac, un repositorio de ciberataques, destapó la filtración de datos de 120,000 clientes y empleados de Telefónica, y poco después se comunicó el ataque a Iberdrola. Este último incidente se produjo entre el 5 y el 7 de mayo, comprometiendo datos de 600,000 clientes del mercado libre y 250,000 de Curenergia, la filial del mercado regulado.
Poco antes, HackManac también informó sobre la puesta en venta en el mercado negro de datos supuestamente robados a Banco Santander por dos millones de dólares. Aunque el banco asegura que no se ha filtrado información que permita operaciones fraudulentas, los cibercriminales afirman haber obtenido 28 millones de números de tarjetas de crédito, una cifra que podría estar exagerada.
Protocolos y respuestas
El caso de Banco Santander se ha tomado como un ejemplo de transparencia en la gestión de ciberataques, ya que la entidad notificó rápidamente a la CNMV, a clientes y empleados. Según la normativa, estas brechas de seguridad deben comunicarse a la Agencia de Protección de Datos en un plazo de 72 horas, la cual evaluará si hubo negligencia. En 2023, la agencia recibió 2,004 notificaciones de brechas de datos personales, un 10% más que el año anterior, afectando a 17 millones de usuarios.
Desde el inicio de la guerra en Ucrania, los ciberataques han alcanzado niveles máximos. Microsoft reportó que en 2023 se bloquearon más de 4,000 ciberamenazas por segundo. Las empresas están tomando medidas para reforzar su ciberseguridad. Iberdrola cuenta con más de 400 empleados dedicados a esta área, mientras que Banco Santander ha implementado un curso obligatorio de ciberseguridad. En Telefónica, 94.642 empleados completaron formación en privacidad, protección de datos, seguridad y ciberseguridad, un 87% más que el año anterior.
Respuesta gubernamental
El problema de la ciberseguridad también está siendo abordado a nivel gubernamental. El Gobierno planea aprobar una nueva Ley de Ciberseguridad antes de fin de año. La Fundación ESYS (Empresa, Seguridad y Sociedad Digital) ha propuesto la creación de una Agencia Nacional de Ciberseguridad, que centralice las competencias actualmente dispersas por la Administración, siguiendo el modelo de otros países europeos.