El ciberataque a Naturgy ha dejado al descubierto los datos personales de cerca del 3% de sus clientes en España, una cifra que, sobre una cartera doméstica que ronda los diez millones de contratos, apunta a varios cientos de miles de personas afectadas. La compañía energética ha activado los protocolos internos de respuesta y notificado el incidente a las autoridades competentes, según fuentes del propio sector. La brecha vuelve a poner el foco sobre la exposición digital de las grandes utilities españolas.
Qué se sabe del ciberataque a Naturgy y los datos comprometidos
El incidente, detectado en las últimas horas, habría afectado a una porción acotada de los sistemas de gestión de clientes. Según la información preliminar manejada por la energética, los datos comprometidos incluirían información identificativa básica —nombre, apellidos, DNI, dirección postal y datos de contrato— sin que, por ahora, se haya confirmado la fuga de credenciales bancarias completas ni de contraseñas en claro.
Naturgy ha comunicado el incidente a la Agencia Española de Protección de Datos dentro del plazo de 72 horas que establece el Reglamento General de Protección de Datos. Es el procedimiento estándar y, en este caso, ineludible: el volumen estimado supera con holgura cualquier umbral de notificación obligatoria. La empresa también ha activado canales de aviso a los clientes potencialmente afectados.
Hay un detalle que conviene no pasar por alto. El 3% suena pequeño en términos relativos. En términos absolutos, hablamos de un universo de afectados comparable a la población de una capital de provincia mediana. La diferencia entre porcentaje y número real es, muchas veces, donde se juega la percepción pública del daño.
Implicaciones regulatorias y reacción del mercado
El marco sancionador del RGPD permite multas de hasta el 4% de la facturación anual global. Naturgy cerró 2024 con ingresos superiores a los 22.000 millones de euros, lo que sitúa el tope teórico en una cifra muy elevada, aunque la sanción real —si la hay— dependerá de factores como la diligencia previa, la rapidez de la respuesta y la naturaleza de los datos expuestos. La AEPD ha venido modulando sus multas en este sentido, y rara vez se acerca al máximo legal salvo en casos de negligencia grave.
El precedente más cercano lo marcó Iberdrola, que en 2022 sufrió una brecha que afectó a 1,3 millones de clientes y terminó con una sanción administrativa relevante, aunque lejos del techo del reglamento. Endesa, Repsol y otras grandes del sector también han pasado por episodios similares en los últimos cinco años. La conclusión incómoda es que la exposición de las energéticas no es excepcional: es estructural.
¿Por qué se concentran los ataques en este tipo de compañías? Por dos razones que no son nuevas pero siguen vigentes. La primera, el volumen y la calidad de los datos: contratos de suministro vinculados a domicilios reales, con histórico de pagos, son un activo cotizado en los mercados clandestinos de información. La segunda, la complejidad de los sistemas heredados, fruto de fusiones, integraciones y migraciones que dejan capas tecnológicas difíciles de blindar de forma homogénea.
Análisis: la ciberseguridad ya no es un coste, es infraestructura crítica
Llevo tiempo defendiendo que el debate sobre la ciberseguridad en el sector energético español está mal planteado. Se sigue tratando como un capítulo del presupuesto de IT, cuando debería estar al nivel del mantenimiento de redes de distribución o de la gestión de la oferta y la demanda. La directiva NIS2 europea, que España transpuso con retraso, va en esa dirección: obliga a los operadores esenciales —y las energéticas lo son— a niveles de protección y reporte que hasta hace poco eran voluntarios. Puedes consultar el marco completo en el portal de INCIBE, el organismo de referencia en España para incidentes de seguridad.
Lo que me parece criticable no es que Naturgy haya sufrido un ataque —ocurre, ocurrirá más veces y a competidores también—, sino la falta de transparencia granular que suele acompañar a estos episodios en el sector. Cuando una compañía cotizada comunica que se ha visto afectado un porcentaje de clientes sin desglosar la naturaleza exacta de los datos expuestos, el cliente final queda en una posición de vulnerabilidad asimétrica. Sabe que algo ha pasado pero no sabe qué hacer. Y los protocolos de respuesta —cambiar contraseñas, vigilar movimientos, activar alertas en bureaus de crédito— sólo funcionan si la información es precisa.
Hay una cuestión que el incidente deja abierta y que no se va a resolver en los próximos días. ¿Servirá este episodio para acelerar las inversiones en ciberseguridad anunciadas por las grandes utilities, o se convertirá en un trámite regulatorio más, con su correspondiente nota de prensa y su sanción asumible? La respuesta dependerá, en buena medida, de la posición que adopte la AEPD y de si el regulador opta por hacer pedagogía o por marcar un precedente disuasorio. La próxima junta de accionistas de Naturgy, prevista para finales de junio, será un buen termómetro: lo que se diga —o se calle— ahí marcará la pauta del sector durante los próximos doce meses.
