Endesa ha confirmado que su plataforma comercial ha sido objeto de un ciberataque que ha permitido a un tercero no autorizado acceder a información sensible de clientes con contratos de luz y gas.
Según ha comunicado la compañía, el atacante ha conseguido superar las barreras de protección del sistema y consultar datos personales relacionados con los contratos energéticos. Entre la información potencialmente comprometida se encuentran datos identificativos y de contacto, documentos nacionales de identidad, detalles contractuales y, en algunos casos, datos vinculados a los medios de pago, como el número de cuenta bancaria (IBAN). Endesa remarca que en ningún momento se han visto afectadas las contraseñas de acceso de los usuarios.
La compañía ya ha comenzado a informar a los clientes que podrían haber sido afectados mediante correos electrónicos. En estas comunicaciones, Endesa reconoce que, “a pesar de las medidas de seguridad implementadas”, se han detectado “evidencias de un acceso no autorizado e ilegítimo” a determinados datos personales. La investigación abierta apunta a que el responsable podría haber extraído información de los sistemas internos.
A pesar de ello, la empresa advierte que los datos obtenidos podrían ser utilizados en intentos de suplantación de identidad, estafas o campañas de correos y mensajes engañosos. También existe el riesgo de que esta información se difunda en foros clandestinos de internet. Con todo, la eléctrica considera “poco probable” que el incidente acabe teniendo un impacto grave sobre los derechos y las libertades de los afectados.
Como medida de prevención, Endesa recomienda a sus clientes que estén especialmente alerta ante comunicaciones sospechosas en los próximos días y que informen de cualquier indicio de fraude a través del teléfono habilitado (800 760 366). Paralelamente, asegura haber activado todos los protocolos de seguridad previstos para este tipo de situaciones, así como medidas técnicas y organizativas para contener el incidente, reducir sus efectos y evitar que se repita.
De momento, la compañía no ha concretado cuántos clientes se han visto afectados. Algunos portales especializados en ciberseguridad han apuntado que el presunto autor del ataque habría publicado información sobre la brecha en un foro de la dark web, afirmando haber obtenido un volumen muy elevado de datos, según han informado diversos medios. Estas afirmaciones, sin embargo, no han sido verificadas oficialmente.
Ante los hechos, asociaciones de consumidores como Facua han reclamado la intervención de la Agencia Española de Protección de Datos para investigar el alcance real de la brecha, determinar posibles responsabilidades y comprobar si la empresa ha adoptado todas las medidas necesarias para garantizar la seguridad de la información de sus clientes.
