Ciberataque a Repsol, ¿cómo afecta a los usuarios?

Repsol ha informado de que ha sido víctima de un ciberataque, que ha dejado expuestos datos de sus clientes de gas y electricidad. El ataque se produjo hace unos días y afectó a las bases de datos de un proveedor externo, que incluía información de miles de clientes. Según la compañía, el problema ya ha sido subsanado.

LOS DATOS DE LOS USUARIOS QUEDAN EXPUESTOS

Tras este ataque, los datos de miles de usuarios han quedado en manos de ciberdelincuentes. Repsol ha aclarado que, aunque no se han filtrado datos bancarios, informaciones de consumo ni contraseñas, sí han quedado expuestos datos personales como nombre, apellidos, DNI y datos de contacto (correo electrónico o teléfono), además del CUPS del suministro. Que los ciberdelincuentes tengan estos datos supone un riesgo. Con esa información pueden recurrir a diversas técnicas de phishing, fraudes online, abusos, spam y engaños telefónicos.

Desde la Organización de Consumidores Unidos (OCU) recalcan que la normativa que prohíbe las llamadas comerciales no solicitadas es aún insuficiente. Si una llamada, además, contiene una gran cantidad de datos personales robados, las consecuencias para el consumidor pueden ser muy negativas. Advierten de que comerciales sin escrúpulos podrían intentar convencer a usuarios vulnerables para cambiar de tarifa o de compañía. Cualquier excusa (renovar un descuento, ajustar el contador, cambiar de tarifa) puede ser utilizada para obtener una validación de SMS o una grabación, sin que el usuario se de cuenta.

DEMASIADAS FILTRACIONES

Repsol se suma a una lista cada vez más larga de empresas afectadas por este tipo de ataques, entre ellas Telefónica, el Banco Santander o TotalEnergies. Desde OCU alertan sobre estos incidentes y proporcionan claves para evitar que los usuarios afectados se vean perjudicados.

ES PRECISO UN MAYOR CONTROL

Los usuarios ceden sus datos a las empresas para poder operar con ellas y disfrutar de algún servicio, pero no para que terminen en manos de ciberdelincuentes. La normativa de protección de datos establece que las empresas deben avisar a la AEPD en menos de 72 horas desde el problema de seguridad y notificarlo lo antes posible a los afectados. Sin embargo, esta regla no siempre se cumple. Aunque el ataque a Repsol ocurrió hace unos días, hay casos en los que la comunicación a los clientes afectados se ha retrasado más de tres meses, dejándolos expuestos sin su conocimiento.

Desde OCU piden a la Agencia Española de Protección de Datos que aplique de manera estricta la normativa vigente y que las filtraciones sean comunicadas rápidamente a los afectados. Y recuerdan que cualquier retraso facilita las posibles estafas, afectando directamente a los usuarios. Además, consideran que las empresas hackeadas deberían enfrentarse a sanciones adicionales si se demuestra negligencia en la protección de los datos y aportar una indemnización proporcional al riesgo sufrido por los usuarios afectados.