Una filtració massiva de dades personals ha compromès la informació de clients de Naturgy a Espanya. El ciberdelinqüent identificat com Spain va publicar una oferta a la dark web assegurant disposar de 74,2 GB d'informació procedent de més d'1,8 milions d'usuaris espanyols de la distribuïdora energètica.
Abast i naturalesa de les dades exposades
El portaveu corporatiu va confirmar que l'incident afectaria aproximadament al 3% de la seva cartera comercial. Atès que la companyia gestiona més de 16 milions de clients, el volum estimat de persones afectades frega els 480.000 registres. La publicació inclou noms complets, cognoms, DNI, NIF, adreces de correu electrònic i números de compte bancària. També s'han fet públics detalls contractuals com codis CUPS, domicilis físics, productes contractats i notes internes del proveïdor.
Origen extern i resposta institucional
Naturgy va aclarir que el forat de seguretat no va originar una fallada directa en les seves pròpies infraestructures tecnològiques. L'accés no autoritzat es va produir contra una base de dades propietat d'un tercer que emmagatzema informació identificativa i financera. L'organització ja ha posat l'incident en coneixement dels afectats i ha remès els corresponents informes a l'Agència Espanyola de Protecció de Dades i a les forces de seguretat.
"La bretxa no es va produir en els nostres sistemes sinó a través d'un tercer" - Portaveu de Naturgy, Companyia Energètica
Els protocols d'actuació es van activar immediatament per contenir la vulnerabilitat. Els equips tècnics van renovar credencials, van bloquejar accessos sospitosos i van executar auditories exhaustives tant a les seves pròpies plataformes com als servidors del proveïdor implicat. Es va descartar que existís compromís de contrasenyes ni de les claus d'accés a l'Àrea Client.
Un modus operandi recurrent en el sector
Aquest atac se suma a una campanya prèvia dirigida contra el mateix sector durant els primers mesos de l'any. El mateix actor cibercriminal havia aconseguit infiltrar-se a les xarxes d'Endesa, on es va apropiar de la informació de 20 milions d'abonats. En aquella ocasió, l'alliberament de 300.000 expedients va funcionar com a pressió per exigir un pagament de rescat al consell d'administració.
Les autoritats mantenen obertes les línies d'investigació per rastrejar la traçabilitat d'aquests moviments informàtics i garantir la protecció de les dades sensibles. Els afectats reben instruccions clares sobre com verificar l'autenticitat de futures comunicacions corporatives i activar mecanismes de prevenció davant possibles intents de suplantació d'identitat dirigits al seu entorn domèstic.