Un ataque informático extrae datos personales de clientes de Endesa
La compañía energética reconoce un hackeo de su plataforma, pero que no compromete las contraseñas de los usuarios
BarcelonaEndesa Energía ha reconocido un acceso no autorizado a la plataforma comercial que ha dado como resultado la extracción de datos de los clientes relacionados con sus contratos, incluidos su documento de identidad y los medios de pago. Un actor malicioso ha sobrepasado las medidas de seguridad implantadas por la empresa en la plataforma comercial en un reciente incidente de seguridad, del que ya ha empezado a notificar a los usuarios afectados a través de un correo electrónico.
Este incidente, un "acceso no autorizado e ilegítimo", como expone la compañía, ha ocasionado la extracción de datos personales sensibles de los clientes relacionados con los contratos de luz y gas. Según la investigación que ha iniciado la compañía, el actor malicioso "hubiera tenido acceso y podría haber exfiltrado" datos de contacto, documentos de identidad y el IBAN de la cuenta bancaria. Endesa Energía matiza que las contraseñas de acceso no se han visto afectadas.
Aunque por el momento no ha detectado un uso indebido de los datos robados, advierte que el actor malicioso podría intentar usurpar o suplantar la identidad de los clientes, publicar estos datos en foros digitales o utilizarlos para enviar correos o mensajes fraudulentos dentro de campañas de phishing y spam. Sin embargo, la compañía considera "improbable" que este robo "se materialice en una afectación de alto riesgo para sus derechos y libertades", aunque recomienda a los clientes que estén atentos a "posibles comunicaciones sospechosas que pudieran recibir en los próximos días" y les insta a comunicar cualquier acción sospechosa.
![Hacker](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 16 9"%3E%3C/svg%3E)
Activación de protocolos de seguridad
Nada más conocer el incidente, Endesa Energía también ha activado los protocolos y procedimientos de seguridad establecidos para estos casos, así como "todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro", así como una investigación interna con sus proveedores tecnológicos. Además, la compañía también informó al Instituto Nacional de Ciberseguridad (Incibe) ya la Agencia Española de Protección de Datos, según confirmaron al ARA fuentes de Endesa.
El portal Escudo Digital, que informó del hackeo en Endesa el pasado 6 de enero, indicó que el pirata informático que llevó a cabo el presunto ciberataque publicó detalles en un foro de la web oscura el domingo 4 de enero, donde revelaba que había obtenido más de un terabyte (TB) de información. "Por los nombres de tablas y archivos, el nivel de sensibilidad de los datos es extremo. Hay datos personales, como nombres y apellidos, datos de contacto, dirección postal, y relación cuenta-persona; datos financieros, como IBAN, datos de facturación e historial de cuentas y cambios; datos energéticos, como CUPS (identificador único de punto CU, exentos e historial de incidencias", indica Escudo Digital.
