Endesa Energía sufre un ciberataque que afecta información personal y financiera de sus usuarios

La compañía energética ha alertado a sus usuarios tras detectar el acceso no autorizado a información confidencial, incluyendo identificadores y referencias bancarias, y ha puesto en marcha medidas para proteger la seguridad de los afectados

El logotipo de Endesa. (REUTERS/Susana

La eléctrica Endesa Energía ha comunicado a sus clientes la ocurrencia de un ciberataque que ha provocado la extracción de datos personales y financieros. La alerta, enviada directamente a los usuarios, abarca clientes de ambas divisiones de la empresa: Endesa Energía, en el mercado libre, y Energía XXI, que opera en el ámbito regulado. La compañía ha enfatizado que el acceso ilegal por parte de actores malintencionados comprometió tanto los datos de los contratos como, en ciertos casos, los códigos IBAN relacionados con los pagos bancarios, mientras que las contraseñas de usuario permanecen intactas.

En su comunicado oficial, Endesa explicó que los ciberdelincuentes lograron entrar a una base de datos que contiene nombres, apellidos, información de contacto y números de DNI. Además, la firma puntualizó desde el inicio que la sustracción abarca detalles vinculados a los contratos de suministro eléctrico y gas y, de forma particular, referencias bancarias de algunos usuarios afectados. Estos datos se incluyen directamente en la comunicación enviada por Endesa a sus clientes.

La empresa informa que ha implementado los protocolos de seguridad estipulados para este tipo de incidentes. Según Endesa, se han aplicado todas las medidas técnicas y organizativas requeridas para controlar el incidente, minimizar sus efectos y evitar su repetición. A pesar del volumen de datos comprometidos, la compañía ha reiterado que las contraseñas de los clientes no fueron vulneradas.

La investigación interna iniciada por Endesa indica que el intruso informático accedió, y posiblemente extrajo, información sensible que incluye datos de contacto, documentos identificativos e IBAN de cuentas bancarias. Hasta el momento, conforme a lo comunicado por la empresa, no se han detectado usos fraudulentos de la información sustraída. Sin embargo, Endesa ya ha alertado a sus usuarios sobre el potencial empleo de estos datos para suplantación de identidad, divulgación en foros digitales o utilización en campañas de correos y mensajes fraudulentos de tipo phishing o spam.

Para reducir cualquier posible repercusión, la empresa ha informado a sus usuarios que considera poco probable que este incidente represente un riesgo significativo para los derechos y libertades de los clientes. Aun así, se ha recomendado “extremar la vigilancia ante posibles comunicaciones sospechosas” durante los próximos días y se ha facilitado el teléfono 800 760 366 para que los afectados reporten cualquier actividad irregular. Toda esta información ha sido confirmada y transmitida por Endesa a los usuarios involucrados.

Las dimensiones de la filtración

La escala real de la brecha y la eventual publicación de los datos quedó evidenciada tras los informes emitidos por el portal Escudo Digital, que inicialmente comunicó el ataque a Endesa el 6 de enero. Según Escudo Digital, el responsable del ciberataque difundió los detalles del suceso en un foro de la dark web el 4 de enero, asegurando haber accedido a más de 1 TB de datos confidenciales asociados a más de 20 millones de personas.

El mismo portal desglosó el contenido y la sensibilidad de la información comprometida: “Por los nombres de las tablas y archivos, el nivel de sensibilidad de los datos es elevado. Incluye datos personales como nombres y apellidos, información de contacto, dirección postal y vinculación cuenta-persona; datos financieros, como IBAN, facturación e historial de cuentas y modificaciones; datos energéticos, como CUPS (identificador único del punto de suministro), contratos activos de luz y gas, datos del punto de suministro y datos regulatorios, incluyendo Listas Robinson, cuentas exentas e historial de incidencias”, según explicó Escudo Digital.

Scroll al inicio