Endesa ha confirmat que la seva plataforma comercial ha estat objecte d’un ciberatac que ha permès a un tercer no autoritzat accedir a informació sensible de clients amb contractes de llum i gas.
Segons ha comunicat la companyia, l’atacant ha aconseguit superar les barreres de protecció del sistema i consultar dades personals relacionades amb els contractes energètics. Entre la informació potencialment compromesa hi ha dades identificatives i de contacte, documents nacionals d’identitat, detalls contractuals i, en alguns casos, dades vinculades als mitjans de pagament, com ara el número de compte bancari (IBAN). Endesa remarca que en cap moment s’han vist afectades les contrasenyes d’accés dels usuaris.
La companyia ja ha començat a informar els clients que podrien haver estat afectats mitjançant correus electrònics. En aquestes comunicacions, Endesa reconeix que, “malgrat les mesures de seguretat implementades”, s’han detectat “evidències d’un accés no autoritzat i il·legítim” a determinades dades personals. La investigació oberta apunta que el responsable podria haver extret informació dels sistemes interns.
Malgrat això, l’empresa adverteix que les dades obtingudes podrien ser utilitzades en intents de suplantació d’identitat, estafes o campanyes de correus i missatges enganyosos. També existeix el risc que aquesta informació es difongui en fòrums clandestins d’internet. Amb tot, l'elèctrica considera “poc probable” que l’incident acabi tenint un impacte greu sobre els drets i les llibertats dels afectats.
Com a mesura de prevenció, Endesa recomana als seus clients que estiguin especialment alerta davant comunicacions sospitoses en els pròxims dies i que informin de qualsevol indici de frau a través del telèfon habilitat (800 760 366). Paral·lelament, assegura haver activat tots els protocols de seguretat previstos per a aquest tipus de situacions, així com mesures tècniques i organitzatives per contenir l’incident, reduir-ne els efectes i evitar que es repeteixi.
De moment, la companyia no ha concretat quants clients s’han vist afectats. Alguns portals especialitzats en ciberseguretat han apuntat que el presumpte autor de l’atac hauria publicat informació sobre la bretxa en un fòrum de la dark web, afirmant haver obtingut un volum molt elevat de dades, segons han informat diversos mitjans. Aquestes afirmacions, però, no han estat verificades oficialment.
Davant dels fets, associacions de consumidors com Facua han reclamat la intervenció de l’Agència Espanyola de Protecció de Dades per investigar l’abast real de la bretxa, determinar possibles responsabilitats i comprovar si l’empresa ha adoptat totes les mesures necessàries per garantir la seguretat de la informació dels seus clients.