Una posible brecha de seguridad en Zirconite de Negocios, socio comercial autorizado de Iberdrola, habría dejado expuestos unos 153.000 registros de contratos de luz y gas gestionados por esta empresa en varios territorios, entre ellos Cataluña.
La filtración habría sido difundida por un atacante que se identifica como _py en un foro de ciberdelincuentes. El material compartido corresponde a contratos tramitados por este colaborador comercial, que opera en Cataluña, Aragón, Baleares, Canarias y la zona centro.
Datos personales y contractuales expuestos
Entre la información presuntamente comprometida figuran nombres y apellidos completos, NIF o CIF del titular del contrato, DNI del firmante, direcciones de correo electrónico, números de teléfono y datos de ubicación.
La filtración también incluye códigos CUPS, la tarifa contratada, el tipo de contrato, la potencia eléctrica y distintos indicadores económicos de compra y venta. A ello se suman referencias a cuentas bancarias utilizadas para la domiciliación de pagos, un extremo especialmente sensible por el volumen y la naturaleza de los datos afectados.
Información comercial e indicios de más documentación
Los registros expuestos no se limitan a los datos identificativos del cliente. También incorporan detalles de la operativa comercial, como el canal de venta, el agente gestor, comentarios de llamadas y referencias a sistemas internos identificados como refintranet y empresa_saintranet.
Además, existen indicadores de la posible presencia de documentos adjuntos vinculados a esos expedientes. Entre ellos aparecerían contratos en PDF, grabaciones de llamadas de verificación y fotografías, aunque no ha trascendido el alcance exacto de ese material ni cuántos archivos podrían haberse visto comprometidos.
Sin confirmación oficial por ahora
Ni Iberdrola ni Zirconite de Negocios han confirmado públicamente el incidente. Tampoco han realizado declaraciones sobre el alcance de la supuesta brecha, el origen del acceso no autorizado o las posibles medidas adoptadas tras la publicación de los datos.
La exposición afecta a información comercial y personal de especial sensibilidad y alcanza a clientes gestionados por un colaborador con actividad en varias comunidades. A la espera de una comunicación oficial, el caso queda marcado por la falta de confirmación empresarial y por el volumen de registros presuntamente difundidos en entornos vinculados a la ciberdelincuencia.