Ayer conocíamos un ciberataque a Iberdrola, concretamente, a su distribuidora I-DE Redes Eléctricas Inteligentes, S.A.U., en el que se han visto comprometidos los datos de 1,3 millones de personas. Los datos personales robados son el nombre y apellidos, el DNI, el domicilio, el número telefónico y la dirección de correo electrónico. Ante esta brecha de seguridad, la compañía ha asegurado que en ningún caso los cibercriminales han conseguido llegar a los datos bancarios, fiscales o de consumo eléctrico de los usuarios. Sin embargo, si usted está entre los afectados, tiene motivos para preocuparse.

Qué razón tenía Rosa Kariger, máxima responsable de Seguridad de Iberdrola, cuando decía que "todos tenemos que ser partícipes de esto, porque, queramos o no, ciberseguridad y seguridad forman un único concepto". Hacía referencia Kariger a la necesidad de que la ciberseguridad sea son una parte integral del trabajo, los hábitos y la conducta de los empleados, especialmente considerando que, según el Informe del estado de cultura de ciberseguridad en el entorno empresarial, elaborado por PwC España, el 95 % de los ciberataques que sufren las empresas tienen su origen en el factor humano.

A pesar de tenerlo claro o de hacer gala de recurrir al hacker ético o white hat hacker, es decir, realizar ataques supervisados para evaluar la ciberseguridad de la organización y detectar posibles brechas, Iberdrola ha vuelto a estar en el punto de mira de un ciberataque. Ya le pasó en 2017, cuando el ransomware WannCry amenazó y, como prevención, la compañía desconectó su red interna.

Los datos personales, aun cuando no contengan datos bancarios, son una mercancía muy valiosa con la que comerciar en la Dark Web. Es lo que en jerga informática se denomina PII, esto es, Personally Identifiable Information. Los ciberdelincuentes pagan grandes sumas de dinero por estos lotes de registros para utilizarlos después con fines delictivos.

Aunque los más jugosos son los datos de tarjetas de crédito –según, Privacy Affairs, se pueden llegar a pagar hasta 120 dólares-, los PII como los robados en el hackeo a Iberdrola también son objeto de mercadeo. Estos mercados clandestinos, a los que se accede con navegadores anónimos tipo Tor o I2P, se mueven de manera similar a los convencionales, de manera que cuanto mayor es la oferta, más se desploman los precios. Ello motiva que se recurra a ofertas y promociones de, incluso, 2x1.

De hecho, el pasado 1 de octubre echaba el cierre uno de los más populares, White House Market, que en el momento de cerrar contaba con alrededor de 900.000 usuarios, de los cuales más de un tercio estaban activos. Silk Road, ToRReZ y AlphaBay son otros conocidos mercados clandestinos en los que se comercia con todo tipo de información, desde fraudes bancarios a tarjetas de crédito o documentos falsificados, pasando por drogas ilegales, etc.

¿Qué hacen los ciberdelincuentes que compran esta información PII? A la cabeza de estos delitos se encuentran los robos de identidad, pudiendo crear tarjetas falsificadas, solicitar préstamos, realizar transferencias de dinero, etc. Por otro lado, un lote de datos personales de 1,3 millones de personas es un regalo para cualquier empresa de marketing, que de buena gana pagará por ello para desplegar después sus campañas de spam.

Al mismo tiempo, los ataques de ingeniería social usan, precisamente, este tipo de munición para desarrollar todo su potencial, buscando información adicional en fuentes abiertas como redes sociales, para adivinar contraseñas, inicios de sesión, etc. Disponer de esta información personal puede abrir la puerta para desplegar ataques de phishing, jugando con ventaja para enmascarar una estafa con la que hacerse después con datos como las tarjetas de crédito o las contraseñas del banco.

Por este motivo, en la comunicación que Iberdrola está realizando a las personas usuarias afectadas avisa de que "desconfíen de los correos electrónicos o mensajes de telefonía móvil que no cuenten con una identificación clara del remitente, cuando le pidan información reservada con su número de cuenta, datos de tarjetas de pago o claves de acceso a servicios".