Un ciberataque a Iberdrola se salda con el robo de datos de 1,3 millones de clientes
El CNI investiga si los grupos de hackers del Kremlin están detrás de esta ofensiva, que no logró hacerse con información financiera
Julio Díaz de Alda y melchor sáiz-pardo
San Sebastián
Jueves, 31 de marzo 2022, 17:18
Iberdrola sufrió el pasado día 15 un ciberataque que se saldó con el robo de información personal de 1,3 millones de clientes, según ha confirmado la compañía. Los ataques se hicieron con información como el DNI, domicilio, teléfono o dirección de correo electrónico. No obstante, según fuentes de la Brigada Central de Investigación Tecnológica de la Policía, que se ha hecho cargo del caso, los atacantes no se hicieron con datos «sensibles» de los abonados a la compañía, como sería el número de la cuenta corriente, el de las tarjetas de créditos o información sobre el consumo.
La compañía eléctrica vasca, que ha reconocido la envergadura del ataque y la sustracción de los datos de millones de sus clientes, aseguró este jueves que el incidente «se resolvió el mismo día» y que los datos bancarios no se filtraron. «Al día siguiente, una vez cerrada la brecha, la compañía detectó ataques masivos que no consiguieron su objetivo», explicaron portavoces de la multinacional, que recordaron que esta ofensiva tuvo lugar de forma simultánea a otros ataques en España y en Europea, como los que sufrió la red de Cercanías, particularmente en Madrid, el Congreso de los Diputados, que tuvo durante horas problemas con su intrared y su web, y varias instituciones comunitarias. En estos casos tampoco tuvieron acceso a datos críticos.
El ataque en sí tuvo como objetivo la filial de la distribuidora I-DE Redes Eléctricas Inteligente, que de inmediato notificó los hechos a la Policía y a la Agencia Española de Protección de Datos. La compañía fue advertida por las autoridades norteamericanas antes del ataque. Iberdrola informó a las autoridades españoles de ello.
A raíz de esta intrusión, Iberdrola ha comenzado a alertar a su clientes para que estén especialmente atentos a correos electrónicos y otras comunicaciones que no se identifiquen de forma clara o que «pidan información reservada como número de cuenta, datos de tarjetas de pago o claves de acceso a servicios», además de mensajes de procedencia desconocida con archivos adjuntos.
Portavoces de Iberdrola recordaron que esta ofensiva tuvo lugar de forma prácticamente simultánea a otros ataques en España y en Europea, como los que sufrió la red de Cercanías, particularmente en Madrid, el Congreso de los Diputados, que tuvo durante horas problemas con su intrared y su web, y varias instituciones comunitarias.
El Centro Criptológico Nacional (CCN), los especialistas del CNI en ciberataques, investigan si detrás de esta ofensiva contra empresas e instituciones españolas está el espionaje ruso. Al menos el ataque al Congreso «pasó» por ordenadores ubicados en Siberia, aunque por ahora no se ha podido probar que la mano del Kremlin esté detrás del sabotaje al legislativo español.
No obstante, el pasado viernes, diez días después del ataque a Iberdrola, el propio CCN alertó de esperaba la guerra cibernética lanzada por el Kremlin contra los países occidentales coincidiendo con la invasión de Ucrania se recrudezca en las próximas semanas. El Centro Criptológico Nacional avisó de nuevos cibeartaques inminentes por parte de hackers «asociados» a los servicios secretos ruso.
El CNI en su alerta compartía un artículo de uno de los colectivos con más prestigio en el estudio de la guerra en la red, la Unidad de Análisis de Amenazas de VMware (TAU) Este grupo y los especialistas españoles del CCN coincidía en que los «próximos ataques cibernéticos» contra Occidente se lanzarán a través de algunos de los 'Actores de Amenazas Persistentes Avanzadas (APT)' (hackers expertos) que están «respaldados» por el GRU (Glávnoye Razvédyvatelnoye Upravlenie), la Dirección Principal de Inteligencia del Estado Mayor General de Rusia.
El CNI y VMware comparten el diagnóstico: la mayor amenaza actual -en plena crisis bélica con Rusia- tanto para España como para el resto de los países de la OTAN viene de dos colectivos de hackers a sueldo del espionaje del Kremlin y que están a la vanguardia de la guerra híbrida de Putin. El primero es el denominado APT 28 o Fancy Bear. Este colectivo, según responsables de la seguridad nacional española, viene actuando contra occidente desde que en 2014 la invasión de Crimea desatara las hostilidades con la OTAN. Este grupo está relacionado directamente con la unidad militar 26.165 del Centro Principal de Servicios Especiales (GTsSS), un grupo de elite de descifradores nacido en la Guerra Fría y que ahora se dedicaría a coordinar a piratas informáticos.
El segundo colectivo se denomina Sandworm Team y es, según los documentos difundidos por el CNI, «un grupo de amenazas destructivas», vinculado a otra unidad del GRU, la 74.455.
Euskadi ha extremado en los últimos días la precaución después de subir la alerta en ciberseguridad por la guerra en Ucrania. El conflicto armado ha aumentado las alertas sobre la posibilidad de un recrudecimiento de las hostilidades cibernéticas hacia los países OTAN, incluido España. Eso, después de que nadie esconda ya que el ataque ruso comenzó mucho antes del fatídico 24 de febrero, y lo hizo en lo más profundo del universo internet. La Administración vasca, la UPV y las empresas consideradas estratégicas han recibido la recomendación de elevar sus defensas ante eventuales ataques.
España ha elevado su nivel de alerta cibernética. Según varios expertos consultados por DV, del estadio 1 (que ya es muy exigente) al 2, en la escala que maneja el Centro Nacional de Inteligencia (CNI).
El Gobierno Vasco (incluidos los más altos niveles) y la universidad pública vasca tuvieron que abordar un proceso de cambio de contraseñas entre los pasados días 3 y 8, mientras los responsables de ciberseguridad renovaban parches y ponían al día las defensas.
En las últimas semanas la Spri y Mondragon Unibertsitatea (MU) han visto caer algunos de sus sistemas. Fuentes oficiales del organismo dependiente del departamento de Desarrollo Económico se limitan a señalar que «hay una incidencia» que, al menos, se ha prolongado durante toda la semana. En el caso de la universidad hablamos del clásico ataque de denegación de servicio, que básicamente supone un aluvión de solicitudes que saturan el sistema, que no puede responder. Se resolvió, según fuentes solventes, en apenas seis horas.
