Ciberataque a Repsol, ¿cómo afecta a los usuarios?
Nuevo cibertataqque, que esta vez ha dejado expuestos datos identificativos de miles de clientes de la compañía energética Repsol. Desde OCU animamos a los usuarios a extremar las precauciones, a las empresas a ser más diligentes en la custodia de los datos y a la AEPD a hacer cumplir las normas y sancionar a quien no lo haga.
Repsol ha informado de que ha sido víctima de un ciberataque, que ha dejado expuestos datos de sus clientes de gas y electricidad. El ataque se produjo hace unos días, y afectó a las bases de datos de un proveedor externo, que incluía datos de miles de clientes, aunque según ha informado la compañía energética ya ha sido subsanado.
Los datos de los usuarios quedan expuestos
Tras este ataque, han quedado en manos de ciberdelincuentes los datos de miles de usuarios: según ha reconocido Repsol, aunque no se han filtrado datos bancarios, de cuentas o tarjetas, informaciones de consumo ni contraseñas, sí datos personales como el nombre y apellidos, el DNI y datos de contacto (el correo electrónico o el teléfono) y el CUPS del suministro.
Que tengan esos datos es también un riesgo: con tus datos identificativos y personales los ciberdelincuentes pueden recurrir a distintas técnicas de phishing o fraudes online, y también a abusos, spam y engaños telefónicos.
Sabemos que normativa que prohíbe llamadas comerciales no solicitadas es aún insuficiente. Si la llamada además hace referencia a una gran cantidad de datos personales (en este caso robados), puede tener unas consecuencias muy negativas para el consumidor. Por ejemplo, comerciales desaprensivos podrían tratan de convencer a usuarios vulnerables para cambiar de tarifa o compañía- Cualquier excusa (renovar un descuento, ajustar el contador, cambiar de tarifa…) les puede valer para convencerte de una gestión que consistirá en validar un SMS enviado, o hacer una grabación y te encontrarás habiendo cambiado de comercializadora sin que te des cuenta, así que mantente muy atento.
Phishing: más informados, mejor protegidos
Demasiadas filtraciones
Repsol viene a sumarse a una lista cada vez más larga de empresas que sufren este tipo de ataques: Telefónica, el Banco Santander o la energética TotalEnergies han visto como los datos de sus usuarios quedaban expuestos: desde OCU alertamos sobre estos hechos, y te damos las claves para evitar que te perjudique si tus datos han quedado expuestos.
Es preciso un mayor control
Los usuarios cedemos nuestros datos a las empresas para poder operar con ellas, disfrutar de algún servicio... no para que acaben circulando por ahí y llegando a manos de ciberdelincuentes... En cumplimiento de la normativa sobre protección de datos, la empresa que custodia tus datos tiene la obligación de avisar a la AEPD en menos de 72 horas desde el problema de seguridad y comunicarlo cuanto antes a los posibles afectados. Sin embargo, esto no siempre se cumple: el ataque a Repsol se ha producido hace unos días, pero sabemos de casos de retrasos superiores a los tres meses en la comunicación de un ciberataque a los clientes afectados, que ignoran por completo su vulnerabilidad al haberse quedado expuestos sus datos.
Desde OCU solicitamos a la Agencia Española de Protección de Datos una estricta aplicación de la actual normativa de protección de datos sobre la comunicación de las filtraciones a los clientes, que deberá ser rápida y directa, al tiempo que pedimos que se sancione a las empresas que la incumplan. Posponer esta obligación supone facilitar cualquier posible estafa y son los usuarios quienes sufren las consecuencias.
Además, consideramos que deberían contemplarse sanciones adicionales a las empresas hackeadas si demostraran negligencia en la protección de los datos de sus clientes. Y, en todo caso, debería reconocerse una indemnización a los afectados proporcional al riesgo derivado de la apropiación ilegal de sus datos personales
