El 10 de septiembre de 2024, la multinacional energética Repsol se vio envuelta en un grave incidente de ciberseguridad que ha expuesto información sensible de sus clientes de electricidad y gas en España. Este ataque, perpetrado contra uno de los proveedores externos de la compañía, ha permitido a un actor no autorizado acceder parcialmente a la base de datos de clientes, poniendo en riesgo nombres, apellidos, DNI, domicilios y códigos de suministro de energía (CUPS). Aunque Repsol ha asegurado que no se han filtrado datos sensibles como cuentas bancarias, contraseñas o información de tarjetas de crédito, la preocupación en torno al ataque sigue en aumento.
Contexto del ciberataque: una amenaza creciente para las grandes compañías
Los ciberataques dirigidos a grandes corporaciones como Repsol son cada vez más comunes en el panorama actual, donde las vulnerabilidades tecnológicas de los sistemas de proveedores externos pueden ser el punto de entrada para los delincuentes. En este caso, la brecha no ocurrió directamente en los servidores de Repsol, sino a través de un proveedor de servicios, demostrando que incluso las empresas más preparadas no están a salvo si los terceros con los que trabajan no tienen los mismos niveles de ciberseguridad.
La compañía energética ha sido rápida en su respuesta, adoptando medidas inmediatas para contener el ataque y evitar mayores filtraciones. Sin embargo, el daño ya estaba hecho, y el temor a una posible venta de los datos filtrados en la dark web ha generado gran preocupación entre los clientes.
¿Qué datos han sido comprometidos?
Según las declaraciones oficiales de Repsol, los datos comprometidos incluyen información personal como nombres, apellidos, números de DNI, direcciones de los clientes y códigos de suministro energético. Estos datos, aunque no son bancarios o financieros, pueden ser utilizados para campañas de phishing y suplantación de identidad. Los CUPS, en particular, permiten identificar cada punto de suministro eléctrico, lo que podría facilitar a los ciberdelincuentes realizar actividades fraudulentas vinculadas a la contratación o manipulación de servicios energéticos.
David Arcos, periodista especializado en ciberseguridad, señala: “Este tipo de información personal, aunque no sea financiera, es extremadamente valiosa para los ciberdelincuentes, quienes la utilizan para diseñar ataques más personalizados, como el spear-phishing, engañando a los usuarios con correos electrónicos que parecen legítimos.”
La dark web: el mercado negro de datos robados
Uno de los mayores riesgos tras un ciberataque de este tipo es que los datos robados terminen en la dark web, un espacio dentro de la deep web no indexado por los motores de búsqueda tradicionales, donde los ciberdelincuentes pueden comerciar información de forma anónima. Estos mercados de datos robados son frecuentados por actores maliciosos que, mediante el uso de criptomonedas, compran y venden información comprometida para llevar a cabo ataques adicionales.
Estudios recientes indican que, en España, los ciberataques dirigidos a grandes corporaciones han crecido un 35% en los últimos tres años. De hecho, según un informe del Centro Criptológico Nacional (CCN), en 2023 se registraron más de 63.000 incidentes de ciberseguridad en el país, muchos de ellos relacionados con la fuga de datos de empresas del sector energético y telecomunicaciones, aunque la realidad refleja un número mayor:
Consecuencias legales para Repsol: Además de la preocupación inmediata por los datos filtrados, Repsol se enfrenta a sanciones y demandas por incumplir con la Ley de Protección de Datos (RGPD). La Agencia Española de Protección de Datos (AEPD) es la entidad encargada de investigar si la empresa ha tomado las medidas necesarias para proteger adecuadamente la información personal de sus clientes. Dependiendo de la magnitud de la fuga y las responsabilidades del proveedor implicado, Repsol podría ser multada con cantidades significativas.
En este tipo de incidentes, los clientes afectados también pueden emprender acciones legales. Ya hemos visto casos anteriores, como el ataque masivo a Telefónica en 2017, donde los clientes afectados exigieron indemnizaciones por los posibles daños causados por la exposición de sus datos.
Recomendaciones a los clientes afectados
Repsol ante la incompetencia de neutralizar el ciberataque, ya ha empezado a notificar a los clientes afectados a través de correos electrónicos, informándoles sobre el incidente y brindando consejos sobre cómo protegerse de futuros intentos de fraude. Entre las recomendaciones destacadas se incluyen:
- Mantener la vigilancia en correos electrónicos: A partir de ahora, es crucial estar atentos a cualquier intento de suplantación de identidad, como correos electrónicos sospechosos solicitando información personal o enlaces a páginas web no confiables.
- Cambiar contraseñas periódicamente: Aunque las contraseñas no fueron filtradas, es una buena práctica reforzar la seguridad de todas las cuentas y servicios relacionados.
- Evitar compartir datos personales en redes sociales: A menudo, los ciberdelincuentes combinan la información obtenida en ataques como este con datos públicos para crear perfiles más completos de las víctimas.
- Utilizar servicios de protección de identidad: Existen servicios que permiten a los usuarios monitorear si sus datos han sido vendidos o expuestos en la dark web, proporcionando alertas tempranas en caso de que se detecte actividad sospechosa.
Este ciberataque a Repsol pone de manifiesto la importancia de mantener altos estándares de seguridad no solo dentro de la empresa, sino también en toda la cadena de suministro y con terceros proveedores. Las empresas deben asegurarse de que todos sus socios comerciales cumplan con las mismas normativas de seguridad que ellas mismas.
David Arcos, perito informático de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI), opina: “Las grandes empresas deben realizar auditorías de seguridad periódicas y garantizar que sus proveedores externos utilicen prácticas de ciberseguridad de alto nivel. En muchos casos, los puntos de acceso más vulnerables se encuentran fuera de los sistemas principales de la compañía, lo que deja una puerta abierta para los atacantes.”
Arcos también sugiere que tecnologías avanzadas como la inteligencia artificial y el aprendizaje automático pueden ser clave para detectar patrones inusuales en tiempo real y evitar ciberataques futuros.
Innovaciones tecnológicas para prevenir futuros ciberataques
La prevención de ciberataques como el ocurrido en Repsol requiere una combinación de tecnologías avanzadas y buenas prácticas de ciberseguridad. Algunas de las herramientas y avances más destacados que pueden ayudar a proteger los datos de los clientes incluyen:
- Sistemas de detección de intrusiones (IDS) basados en inteligencia artificial: Estas herramientas permiten identificar comportamientos anómalos en las redes corporativas y prevenir ataques antes de que sucedan.
- Cifrado de extremo a extremo: Aunque no es infalible, el cifrado fuerte asegura que los datos robados no puedan ser fácilmente leídos ni utilizados por los atacantes.
- Sistemas de autenticación multifactor (MFA): Incorporar este tipo de autenticación reduce significativamente el riesgo de que las cuentas de los usuarios sean vulneradas, incluso si los delincuentes obtienen información básica.
El ciberataque a Repsol destaca los desafíos a los que se enfrentan las grandes empresas en la era digital. A medida que los ciberdelincuentes perfeccionan sus técnicas, las compañías deben estar un paso adelante, no solo reforzando sus defensas internas, sino también asegurando que sus proveedores cumplan con estrictos estándares de ciberseguridad. En un mundo cada vez más conectado, la protección de los datos personales es una prioridad absoluta.
La información será utilizada por actores maliciosos para desarrollar otros tipos de actividades maliciosas, por ejemplo, campañas de suplantación de identidad. En este sentido, debemos estar muy atentos a los correos electrónicos que recibamos.
En la dark web existe un enrome mercado de datos robados. Se trata de una porción de la deep web que no está indexada por los motores de búsqueda en la que los ciberdelincuentes pueden ocultar su identidad y comerciar información utilizando criptomonedas.