Repsol ha confirmado que ha sido víctima de un ciberataque que ha dejado expuestos datos personales de sus clientes de gas y electricidad. Según ha informado la compañía, el ataque tuvo lugar hace unos días y afectó a una base de datos gestionada por un proveedor externo. A pesar de la gravedad del incidente, la empresa asegura que el problema ha sido subsanado . Este suceso se suma a una creciente lista de ataques cibernéticos que afectan a grandes empresas en España, entre las que destacan Telefónica, Banco Santander y TotalEnergies.
La compañía ha aclarado que no se han filtrado datos bancarios , contraseñas ni información sobre el consumo de los clientes, pero los ciberdelincuentes han accedido a datos como nombres, apellidos, DNI, teléfonos, correos electrónicos y el Código Universal de Punto de Suministro (CUPS). ) de los afectados. Aunque estos datos pueden parecer menos sensibles que los financieros, los expertos advierten de los riesgos asociados, como el phishing , una técnica de fraude que utiliza la información personal para engañar a los usuarios.
Phishing y fraudes, una amenaza creciente para los usuarios
El acceso a datos personales exponen a los clientes de Repsol a una serie de riesgos adicionales. Con esta información, los ciberdelincuentes podrían recurrir a técnicas como el phishing, en el que suplantan la identidad de empresas o servicios legítimos para robar más datos o dinero. Además, estos delincuentes pueden utilizar los datos para realizar llamadas no solicitadas o enviar correos electrónicos fraudulentos, simulando ser comerciales de empresas energéticas u otros proveedores.
En estas circunstancias, los clientes vulnerables podrían ser fácilmente convencidos de realizar cambios en sus contratos, como modificar tarifas o cambiar de comercializadora . Los delincuentes suelen aprovechar excusas como ajustes en los contadores o renovación de descuentos para convencer a las víctimas de aceptar una gestión que resulta ser una trampa. Por este motivo, desde organizaciones de consumidores como OCU se anima a los usuarios a mantenerse alerta ante posibles intentos de fraude.
Las filtraciones de datos personales han aumentado de forma preocupante en los últimos años, y Repsol no es la primera empresa en ser víctima de este tipo de ataques. Grandes compañías como Telefónica, Banco Santander y TotalEnergies también han visto cómo la información de sus clientes se filtraba tras sufrir ciberataques. Estos incidentes ponen de manifiesto la necesidad de medidas más estrictas por parte de las empresas para garantizar la seguridad de los datos que manejan.
Mayor control y sanciones a las empresas
El acceso a los datos de clientes por parte de terceros no autorizados compromete la confianza que los usuarios depositan en las empresas. Las empresas están obligadas, por la normativa vigente, a notificar a la Agencia Española de Protección de Datos (AEPD) cualquier incidente de seguridad que comprometa la información de sus clientes en un plazo de 72 horas. Sin embargo, este plazo no siempre se cumple. Según la OCU, en algunos casos se ha tardado hasta tres meses en informar a los usuarios afectados.
Esta situación aumenta el riesgo de que los datos expuestos se utilicen de forma indebida. La OCU ha solicitado a la AEPD una aplicación más estricta de la normativa sobre protección de datos, instando a que las comunicaciones a los clientes afectados sean rápidas y claras . Además, han pedido que se sancione a aquellas empresas que no cumplan con esta obligación, ya que el retraso en la comunicación facilita los intentos de estafa y deja a los usuarios desprotegidos .
En casos donde se demuestre que las empresas hackeadas han sido negligentes en la protección de los datos de sus clientes, OCU propone que se impongan sanciones adicionales y que se reconozca una indemnización proporcional al riesgo que corren los afectados por la apropiación indebida de sus datos. Estas buscan garantizar que las empresas tomen más en serio la protección de la información personal de sus usuarios y actúen con mayor diligencia en caso de sufrir un ataque cibernético.
La creciente frecuencia de este tipo de ataques muestra que las empresas deben adoptar medidas más rigurosas para proteger la privacidad de sus clientes. Las sanciones y la compensación a los afectados podrían ser una vía eficaz para impulsar un mayor compromiso por parte de las empresas en la gestión.
