
Endesa Energía ha confirmado un acceso no autorizado a su plataforma comercial que derivó en la extracción de datos de clientes vinculados a sus contratos, incluyendo documentos de identidad y métodos de pago.
Un actor malintencionado logró superar las medidas de seguridad que la empresa había implementado en su plataforma comercial durante un reciente incidente de seguridad, y ya se ha comenzado a notificar a los usuarios afectados mediante correo electrónico.
Este episodio, descrito por la empresa como un «acceso no autorizado e ilegítimo», provocó la exfiltración de datos personales sensibles relacionados con los contratos de suministro eléctrico y gas.
Hechos similares, que aumentan en frecuencia, generan incertidumbre entre los usuarios, quienes a menudo desconocen qué información ha sido comprometida y de qué forma podría ser utilizada por los ciberdelincuentes en el futuro.
La firma especializada en ciberseguridad ESET señala que cuando una entidad encargada de custodiar datos personales sufre un incidente de esta naturaleza, el riesgo no concluye con la notificación de la brecha. La información comprometida puede ser reutilizada por meses, para perpetrar fraudes, suplantación de identidad o ataques dirigidos que explotan la confianza depositada por los clientes en la organización afectada.
«Frente a una filtración de datos, sentir preocupación es razonable, pero también es crucial mantener la calma y actuar con criterio. Los delincuentes suelen aprovechar estos incidentes haciéndose pasar por la empresa afectada, usando información real para fortalecer su credibilidad y engañar a las víctimas», comenta Josep Albors, director de Investigación y Concienciación de ESET España.
De acuerdo con la investigación inicial de la compañía, el actor malicioso «habría accedido y podría haber extraído» datos de contacto, documentos de identidad y el IBAN de las cuentas bancarias. Endesa Energía aclara que las contraseñas de acceso no se vieron comprometidas.
El especialista advierte que una de las formas más usuales para monetizar la información robada consiste en contactar directamente con clientes a través de correos electrónicos, mensajes SMS o llamadas fraudulentas que simulan ser comunicaciones legítimas. En estas interacciones, los atacantes pueden solicitar datos adicionales, requerir pagos o incitar a descargar archivos o acceder a enlaces maliciosos, aprovechando la alarma generada por la brecha.
Recomendaciones si tus datos personales fueron comprometidos
Tras una filtración de datos personales, desde ESET aconsejan adoptar una postura proactiva para minimizar posibles consecuencias:
- Modificar contraseñas cuanto antes: es recomendable renovar las contraseñas, en especial si no se han cambiado desde hace tiempo, utilizando combinaciones fuertes y exclusivas.
- Implementar medidas adicionales de autenticación: siempre que sea posible, activar sistemas de doble factor de autenticación.
- Permanecer vigilante ante comunicaciones sospechosas: desconfiar de mensajes supuestamente enviados por la empresa afectada que contengan enlaces, archivos adjuntos o peticiones urgentes. En caso de dudas, contactar directamente mediante canales oficiales.
- Revisar regularmente las cuentas: monitorear con frecuencia las cuentas bancarias para detectar movimientos, notificaciones o actividades que no hayas realizado.

