La última gran brecha de datos de 2020 ocurrió en el Reino Unido y expuso la información de más de 270.000 personas: se trata de los clientes de People’s Energy, una utility con sede en Escocia basada en crowfunding y cuya oferta energética proviene al 100% de energías renovables.

La brecha tuvo lugar el 17 de diciembre y según la compañía, actuaron rápidamente informando a la OFGEM (el regulador del sector energético), la ICO (la institución pública para la protección de datos) y el Centro Nacional de Ciberseguridad del Reino Unido.

Nombres, direcciones, fechas de nacimiento y números de registro de los clientes quedaron al descubierto. Además, aunque en un primer momento no pareció que quedaran datos financieros expuestos, los ciberatacantes lograron obtener los números de cuentas bancarias de 15 PYMES que son clientes de la compañía eléctrica, a las que inmediatamente contactó individualmente para informarles sobre ello.

Consecuencias indirectas_

Los analistas de ciberseguridad advirtieron que es un escenario probable que los ciberatacantes utilicen la información que han obtenido con la brecha para realizar ciberataques basados en ingeniería social mediante phishing a los clientes de la compañía: esos datos les permitirán elaborar correos electrónicos mucho más convincentes suplantando a People’s Energy para pedirles así datos aún más sensibles, como los financieros. Por estos motivos, las consecuencias de las brechas de datos siempre van mucho más allá de las directas (como el daño reputacional por la pérdida de confianza de sus clientes actuales y futuros).

Eso explica por qué las autoridades de protección de datos se toman tan en serio este tipo de incidentes y es que existen varios precedentes de multas millonarias impuestas a organizaciones: el ICO impuso una multa de 138 millones de libras a la aerolínea British Airways (que después redujo a 20 millones) por una brecha de datos. Además, de manera más reciente también existe el incidente de EasyJet que abordamos con anterioridad en el blog: en ese caso afectó a los datos de 9 millones de clientes y lo que fue particularmente grave: a 2208 se le filtraron los datos de sus tarjetas de crédito (número y CVV). Ante ello, el ICO podría imponerles una multa de hasta el 4% de su facturación total, lo que en el caso de EasyJet supondría 255 millones.

Gestión y protección de datos_

Aunque las brechas de EasyJet y British Airways pertenecen al sector aéreo, los expertos coinciden en que las utilities también suponen una mina de oro para los ciberatacantes que quieran obtener datos de usuarios por su gran base de clientes. Por eso, además de estar preparados frente a ciberataques sofisticados que afecten a su operatividad e instalaciones industriales (como apuntaba Carlos Manchado, CISO de Naturgy), también deben tener como prioridad que sus clientes no se queden comprometidos.

Por tanto, en este contexto donde la protección del dato es fundamental para las compañías que albergan tanta información de clientes finales -como el sector eléctrico- las organizaciones necesitan aplicar un enfoque proactivo que contemple tanto una adecuada gestión de los datos como una tecnología de protección avanzada.

En este sentido, la gestión de los datos debe incluir clasificación y jerarquización para que los más sensibles estén lo menos expuestos posibles. Con ello, se establecen distintos niveles de acceso y roles dentro de la organización, así como una buena política de contraseñas.

Pero como los ciberatacantes realizan ataques cada vez más sofisticados y el eslabón humano puede fallar por engaños mediante ingeniería social o inclusos insiders, las organizaciones también deben contar con soluciones avanzadas: Cytomic Data Watch es la respuesta para ello, ya que descubre y protege los datos personales y sensibles, tanto en tiempo real como a lo largo de su ciclo de vida, tanto en endpoints como en servidores. Así también podrán cumplir las estrictas normativas de protección de datos como el Reglamento General de Protección de Datos (GDPR) y las legislaciones locales. Pero sobre todo, podrán evitar incidentes que pueden exponer a lo más valioso para todas las compañías: sus clientes.