Attackerna har som mål att stjäla personuppgifter från användare. Företag som Banco Santander och Iberdrola har försökt tona ner betydelsen av intrången genom att påpeka att endast kontaktinformation och inte lösenord eller finansiell information stulits. Experter på cybersäkerhet menar dock att dessa intrång utgör en stor risk för de drabbade medborgarna.

"De kanske inte har mina bankuppgifter, men de har mitt ID-nummer och vet att jag är kund hos Santander eller Telefónica. Det räcker för att skapa riktade bedrägeriförsök där de utger sig för att vara dessa företag," varnar Rafael López, cybersäkerhetsexpert på Perception Point till tidningen El Diario.

López förklarar vidare att dessa data kan matas in i AI-system som skapar sofistikerade och personliga phishing-försök, vilket gör dem mycket farliga. Han påpekar att vi står inför en oöverträffad kampanj av bedrägeriförsök.

Bedrägerierna riktade mot privatpersoner bygger ofta inte på att bryta igenom deras datasäkerhet med kraftfulla verktyg, utan på att få offret att själv öppna dörren. Med bara någon enstaka personlig uppgift, som att målet är en förälder eller namnet på banken de använder, kan bedragare skapa trovärdiga phishing-meddelanden.

Flera företag som drabbats av cyberattacker hävdar att dessa intrång skedde hos deras leverantörer. Detta pekar på att stora företag ofta delegerar sina databaser till tredje parter med sämre säkerhetsåtgärder. López menar att både huvudföretaget och dess leverantörer bör hållas ansvariga vid sådana dataintrång och att sanktioner bör delas mellan dem.

Den spanska dataskyddsmyndigheten har sällan utdömt de högsta möjliga böterna enligt EU:s dataskyddsförordning. De högsta böterna hittills har varit tio miljoner euro mot Google 2022 och åtta miljoner euro mot Vodafone 2021. Offentliga institutioner som DGT och Universidad Complutense kan enligt spansk lag inte drabbas av ekonomiska sanktioner, utan endast få en varning.