Endesa Energía ha confirmado un incidente de seguridad en su plataforma comercial tras detectar un acceso no autorizado que ha derivado en la posible extracción de datos personales de clientes vinculados a sus contratos de luz y gas. La compañía ha comenzado a informar de la brecha a los usuarios afectados mediante comunicaciones por correo electrónico.
Según ha explicado la empresa, un actor malicioso logró superar las medidas de seguridad de la plataforma, accediendo de forma ilegítima a información sensible asociada a la gestión contractual. El incidente se encuentra actualmente bajo investigación para determinar con precisión su alcance y las circunstancias en las que se produjo.
De acuerdo con las primeras conclusiones, el acceso indebido habría permitido la consulta y posible exfiltración de datos personales, entre los que se incluyen datos de contacto, documentos de identidad y el IBAN de la cuenta bancaria utilizada para los pagos. La información comprometida estaría relacionada exclusivamente con los contratos de suministro energético.
Endesa Energía ha precisado que, pese al acceso no autorizado, las contraseñas de los clientes no se han visto afectadas, lo que limita el impacto directo sobre los sistemas de autenticación. Asimismo, la compañía asegura haber activado sus protocolos de seguridad y notificación conforme a la normativa vigente en materia de protección de datos.
Aunque por el momento no ha detectado un uso indebido de los datos robados, advierte de que el actor malicioso podría intentar usurpar o suplantar la identidad de los clientes, publicar dichos datos en foros digitales o utilizarlos para enviar correos o mensajes fraudulentos dentro de campañas de 'phishing' y de 'spam'.
La compañía considera "improbable" que este robo "se materialice en una afectación de alto riesgo para sus derechos y libertades", aunque recomienda a los clientes que estén atentos a "posibles comunicaciones sospechosas que pudiera recibir en los próximos días" y les insta a comunicar cualquier acción sospechosa en el número de teléfono: 800 760 366.
Nada más conocer el incidente, Endesa Energía también ha activado los protocolos y procedimientos de seguridad establecidos para estos casos, así como "todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro".
El portal 'Escudo Digital', que informó del 'hackeo' a Endesa el pasado 6 de enero, indicó de que el pirata informático que ha llevado a cabo el presunto ciberataque publicó detalles sobre el mismo en un foro de la 'dark web' el domingo 4 de enero, donde revelaba que se había hecho con más de 1 TB de información de la compañía referente a más de 20 millones de personas.
"Por los nombres de tablas y ficheros, el nivel de sensibilidad de los datos es extremo. Hay datos personales, como nombres y apellidos, datos de contacto, dirección postal, y relación cuenta-persona; datos financieros, como IBAN, datos de facturación e historial de cuentas y cambios; datos energéticos, como CUPS (identificador único de punto de suministro), contractos activos de luz y gas, datos del punto de suministro y datos regulatorios, como Listas Robinson, cuentas exentas e historial de incidencias", indicaba 'Escudo Digital'.
