Endesa Energía ha reconocido un acceso no autorizado a su plataforma comercial que ha provocado la extracción de datos personales de clientes vinculados a contratos de luz y gas. El incidente, calificado por la compañía como un acceso “ilegítimo”, ha afectado a información sensible como datos de contacto, documentos de identidad y medios de pago, aunque las contraseñas de acceso no se han visto comprometidas. Sucedió el 4 de enero.
Según ha explicado la empresa tras iniciar una investigación interna, un actor malicioso logró sobrepasar las medidas de seguridad implementadas y habría tenido acceso a información que podría haber sido filtrada, entre ella el IBAN de las cuentas bancarias de los clientes. Endesa ha comenzado a notificar a los usuarios afectados a través de correo electrónico, detallando el alcance del incidente y las medidas adoptadas.
Aunque por el momento no se ha detectado un uso indebido de los datos sustraídos, la compañía advierte de posibles riesgos como la suplantación de identidad, la publicación de información en foros digitales o el envío de correos y mensajes fraudulentos dentro de campañas de phishing y spam. Por ello, recomienda a los clientes extremar la precaución ante comunicaciones sospechosas y avisar cualquier incidencia a un número de atención específico.
Endesa considera improbable que este robo de información derive en una afectación de alto riesgo para los derechos y libertades de los usuarios. No obstante, asegura haber activado de inmediato los protocolos de seguridad establecidos, junto con medidas técnicas y organizativas destinadas a contener el incidente, mitigar sus efectos y evitar que vuelva a producirse en el futuro.
El portal especializado Escudo Digital informó de que el presunto ciberataque fue publicado por el propio pirata informático en un foro de la ‘dark web’ el pasado 4 de enero. En esa publicación, el atacante afirmaba haber obtenido más de 1 terabyte de información de la compañía, correspondiente a datos de más de 20 millones de personas, lo que ha elevado la preocupación sobre el alcance real del incidente.
