MADRID, 12 Ene. (Portaltic/EP) – Endesa Energía ha reconocido un acceso no autorizado a su plataforma comercial que ha resultado en la extracción de datos de los clientes relacionados con sus contratos, incluidos el documento de identidad y los medios de pago. Un actor malicioso ha sobrepasado las medidas de seguridad implementadas por la empresa en un incidente de seguridad reciente, del que ya ha comenzado a notificar a los usuarios afectados a través de un correo electrónico.
Este incidente, calificado como un «acceso no autorizado e ilegítimo», ha llevado a la extracción de datos personales sensibles de los clientes, relacionados con los contratos de luz y gas. Según la investigación que ha iniciado la empresa, el actor malicioso «habría tenido acceso y podría haber exfiltrado» datos de contacto, documentos de identidad y el IBAN de la cuenta bancaria. Endesa Energía ha destacado que no se han visto afectadas las contraseñas de acceso.
Aunque por el momento no ha detectado un uso indebido de los datos robados, la compañía advirtió que el actor malicioso podría intentar usurpar o suplantar la identidad de los clientes, publicar los datos en foros digitales o utilizarlos para enviar correos o mensajes fraudulentos dentro de campañas de ‘phishing’ y de ‘spam’. Endesa ha indicado que considera «improbable» que este robo «se materialice en una afectación de alto riesgo para sus derechos y libertades», pero recomiendan a los clientes estar atentos a «posibles comunicaciones sospechosas» y comunicar cualquier acción extraña a un número de teléfono designado.
Nada más conocer el incidente, Endesa Energía ha activado los protocolos de seguridad establecidos para estos casos y se han implementado «todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro». El portal ‘Escudo Digital’ informó sobre el hackeo a Endesa el pasado 6 de enero, indicando que el pirata informático que llevó a cabo el ataque publicó detalles en un foro de la ‘dark web’, revelando que se había hecho con más de 1 TB de información de la compañía referente a más de 20 millones de personas.
De acuerdo con las descripciones obtenidas de ‘Escudo Digital’, el nivel de sensibilidad de los datos es extremo. Se destacan datos personales como nombres y apellidos, datos de contacto, dirección postal, y relación cuenta-persona. Además, se incluyen datos financieros como el IBAN, información de facturación e historial de cuentas y cambios, así como datos energéticos como el CUPS (identificador único de punto de suministro), contratos activos de luz y gas, y datos regulatorios, entre otros.
