Audax Renovables, empresa que opera en España y otros seis países de Europa y que cuenta con unos 387 mil clientes, confirmó la fuga de datos de usuarios de sus servicios de luz y gas. La entidad indicó que notificó oportunamente de lo ocurrido a la agencia española de protección de datos (AEPD).
Audax Renovables, una comercializadora de electricidad y gas que opera en España, Portugal, Italia, Alemania, Polonia, Países Bajos y Hungría, confirmó recientemente que ha sido objeto de un ciberataque que comprometió información sensible de su cartera de clientes.
Según han informado desde la propia compañía, los atacantes habrían tenido acceso no autorizado a datos personales como nombres completos, direcciones, teléfonos, correos electrónicos, datos bancarios (incluido el IBAN, International Bank Account Number), así como otros detalles relacionados con contratos de suministro energético.
La brecha de seguridad se produce en un contexto especialmente delicado, tan solo unas semanas después del gran apagón que dejó a España a oscuras el pasado 28 de abril, reflotando el debate sobre la vulnerabilidad del sistema eléctrico y su infraestructura tecnológica
Como respuesta al incidente, Audax aseguró haber activado su protocolo interno de seguridad y puso en conocimiento de lo acaecido a la Agencia Española de Protección de Datos (AEPD), así como de la Policía Nacional de España. La compañía también ha iniciado una investigación interna para determinar el origen del ataque y el alcance real de los datos comprometidos.
Algunos medios españoles indicaron que Audax aseguró que están trabajando para informar “de manera inminente” a todos los clientes afectados, en un ejercicio de transparencia que consideran esencial en estas circunstancias.
El caso de Audax Renovables no es un hecho aislado. El sector energético español ha sido objeto de una creciente oleada de ciberataques en los últimos años, y varios de los principales actores del mercado han visto comprometida la seguridad de su información.
En septiembre de 2024, informamos sobre el caso de Repsol, empresa que sufrió un incidente similar tras un ataque a través de uno de sus proveedores. En esa oportunidad, el acceso no autorizado se originó a través de uno de sus proveedores externos y permitió obtener nombres, apellidos, domicilios, DNI, datos de contacto y códigos de punto de suministro (CUPS) de miles de clientes de sus servicios de electricidad y gas.
Antes, Iberdrola también fue víctima de una intrusión que afectó a los datos personales de más de 600 mil clientes, también a través de un proveedor. Asimismo, Endesa admitió una brecha en su oportunidad, pero esta fue contenida el mismo día en que se detectó.
Este tipo de incidentes, y sus consecuencias, ponen de relieve el debate en torno a la seguridad en la cadena de suministro, la que muchas veces no está en el radar de las organizaciones cuando se elabora un plan de ciberseguridad. Sobre este último aspecto, los invitamos a leer una columna que sigue muy vigente, y que fue elaborado por el Co-Fundador y Gerente de Operaciones de NIVEL4, Hernán Möller haciendo CLIC ACÁ.