Sede de Iberdrola en Madrid. / AFP

Un ciberataque a Iberdrola se salda con el robo de datos de 1,3 millones de clientes

El CNI investiga si los grupos de hackers del Kremlin están detrás de esta ofensiva, que no logró hacerse con información financiera

Melchor Sáiz-Pardo
MELCHOR SÁIZ-PARDO Madrid

Iberdrola sufrió el pasado 15 de marzo un ciberataque que se saldó con el robo de información personal de 1,3 millones de clientes, según ha confirmado la compañía. Los atacantes se hicieron con información como el DNI, domicilio, teléfono o dirección de correo electrónico. No obstante, según fuentes de la Brigada Central de Investigación Tecnológica de la Policía, que se ha hecho cargo del caso, los hackers no se hicieron con datos «sensibles» de los abonados a la compañía, como sería el número de la cuenta corriente, el de las tarjetas de crédito o información sobre el consumo.

La compañía, que ha reconocido la envergadura del ataque y la sustracción de los datos de millones de sus clientes, aseguró hoy que el incidente «se resolvió el mismo día» y que los datos bancarios no se filtraron. «Al día siguiente, una vez cerrada la brecha, la compañía detectó ataques masivos que no consiguieron su objetivo», explicaron portavoces de la multinacional.

Una filial, el objetivo

El ataque en sí tuvo como objetivo la filial de la distribuidora I-DE Redes Eléctricas Inteligente, que de inmediato notificó los hechos a la Policía y a la Agencia Española de Protección de Datos.

A raíz de esta intrusión, Iberdrola ha comenzado a alertar a su clientes para que estén especialmente atentos a correos electrónicos y otras comunicaciones que no se identifiquen de forma clara o que «pidan información reservada como número de cuenta, datos de tarjetas de pago o claves de acceso a servicios», además de mensajes de procedencia desconocida con archivos adjuntos.

Portavoces de Iberdrola recordaron que esta ofensiva tuvo lugar de forma prácticamente simultánea a otros ataques en España y en Europea, como los que sufrió la red de Cercanías, particularmente en Madrid, el Congreso de los Diputados, que tuvo durante horas problemas con su intrared y su web, y varias instituciones comunitarias. «Fuimos advertidos por las autoridades norteamericanas. Éstas nos sugirieron la posibilidad de que podría recibirse por parte de la empresa un ciberataque en tanto en cuanto la situación crítica que se está viviendo», abundaron responsables de la multinacional.

Ordenadores de Siberia

El Centro Criptológico Nacional (CCN), los especialistas del CNI en ciberataques, investigan si detrás de esta ofensiva contra empresas e instituciones españolas está el espionaje ruso. Según responsables de la seguridad del Estado, al menos el ataque al Congreso «pasó» por ordenadores ubicados en Siberia, aunque por ahora no se ha podido probar que la mano del Kremlin esté detrás del sabotaje al legislativo español.

No obstante, el pasado viernes, diez días después del ataque a Iberdrola, el propio CCN alertó de que esperaba la guerra cibernética lanzada por el Kremlin contra los países occidentales coincidiendo con la invasión de Ucrania se recrudezca en las próximas semanas. El Centro Criptológico Nacional avisó de nuevos cibeartaques inminentes por parte de hackers «asociados» a los servicios secretos ruso.

El CNI en su alerta compartía un artículo de uno de los colectivos con más prestigio en el estudio de la guerra en la red, la Unidad de Análisis de Amenazas de VMware (TAU) .Este grupo y los especialistas españoles del CCN coincidía en que los «próximos ataques cibernéticos» contra Occidente se lanzarán a través de algunos de los ‘Actores de Amenazas Persistentes Avanzadas (APT)’ (hackers expertos) que están «respaldados» por el GRU (Glávnoye Razvédyvatelnoye Upravlenie), la Dirección Principal de Inteligencia del Estado Mayor General de Rusia.

El CNI y VMware comparten el diagnóstico: la mayor amenaza actual -en plena crisis bélica con Rusia- tanto para España como para el resto de los países de la OTAN viene de dos colectivos de hackers a sueldo del espionaje del Kremlin y que están a la vanguardia de la guerra híbrida de Putin. El primero es el denominado APT 28 o Fancy Bear. Este colectivo, según responsables de la seguridad nacional española, viene actuando contra occidente desde que en 2014 la invasión de Crimea desatara las hostilidades con la OTAN. Este grupo está relacionado directamente con la unidad militar 26.165 del Centro Principal de Servicios Especiales (GTsSS), un grupo de elite de descifradores nacido en la Guerra Fría y que ahora se dedicaría a coordinar a piratas informáticos.

El segundo colectivo se denomina Sandworm Team y es, según los documentos difundidos por el CNI, «un grupo de amenazas destructivas», vinculado a otra unidad del GRU, la 74.455.