Un nuevo ciberataque en el sector energético que vuelve a evidenciar un patrón cada vez más habitual: el uso de proveedores como puerta de entrada para comprometer a las organizaciones responsables del tratamiento de los datos.
La brecha de seguridad afectó a unos 150.000 usuarios de la empresa y se ha producido a través de un proveedor con el que colabora que trata información del proceso comercial, desde la captación hasta la formalización de contratos. Por eso este tipo de proveedores se convierten en objetivos prioritarios para los atacantes, que buscan maximizar el impacto con el menor esfuerzo técnico, entendiendo que estos proveedores tratan muchos datos pero son más vulnerables que los sistemas de información principales.
La naturaleza de los datos que se han visto comprometidos es información que permite construir perfiles muy completos de los usuarios como: sus datos de contacto, información bancaria relacionada con domiciliación de recibos, tarifas contratadas y datos asociados al proceso de contratación (como grabaciones de verificación y contratos digitalizados).
Uno de los aspectos más relevantes del incidente, es que el ataque no habría afectado únicamente a nuevas contrataciones o a clientes activos. Parte importante de los datos comprometidos correspondería a antiguos clientes o usuarios que ya no mantenían relación contractual vigente.
Y aquí aparece una de las cuestiones clave desde el punto de vista de la protección de datos: datos cuya finalidad de tratamiento había terminado pero respecto de los cuales, no se había aplicado el correspondiente proceso de bloqueo y supresión.
El Reglamento General de Protección de Datos exige que los datos personales se conserven únicamente durante el tiempo necesario para la finalidad para la que fueron recogidos. Una vez finalizada esa finalidad, la organización debe valorar si procede su supresión o, en su caso, su bloqueo durante los plazos legales exigibles.
Esto significa, que no todos los datos deben permanecer accesibles indefinidamente ni en las mismas condiciones. Mantener en una misma base de datos información de clientes activos, antiguos clientes, procesos cerrados, grabaciones contractuales y datos bancarios, incrementa de forma innecesaria el impacto de cualquier brecha de seguridad, en tanto que el volumen de datos tratados es muy superior.
Este incidente nos recuerda que una correcta gestión del ciclo de vida del dato es tan importante como la propia ciberseguridad. Cuantos más datos se acumulen cuya finalidad del tratamiento ha terminado, más riesgo existe de que se vean comprometidos ante una potencial brecha de seguridad.
Puedes leer el artículo completo en que se basa esta información en este enlace.
Redactado por Julia, a fecha 19 de mayo de 2026.