Endesa Energía ha confirmado un acceso no autorizado a su plataforma comercial que ha permitido la extracción de datos personales sensibles de clientes vinculados a contratos de luz y gas, entre ellos el DNI y los medios de pago.
La compañía ha informado de que un actor malicioso superó las medidas de seguridad de la plataforma y pudo acceder a información contractual. El incidente ya ha sido comunicado a los usuarios afectados mediante correo electrónico.
Según la investigación interna, el atacante habría tenido acceso y podría haber exfiltrado datos de contacto, documentos de identidad y el IBAN de las cuentas bancarias asociadas. Endesa precisa que las contraseñas no se han visto comprometidas.
Aunque por ahora no se ha detectado un uso indebido de la información, la empresa advierte de posibles intentos de suplantación de identidad, publicación de datos en foros digitales o el envío de mensajes fraudulentos en campañas de phishing y spam.
Endesa considera improbable un impacto de alto riesgo sobre los derechos y libertades de los clientes, pero recomienda extremar la precaución ante comunicaciones sospechosas en los próximos días y notificar cualquier incidencia en el teléfono 800 760 366.
Tras detectar el incidente, la compañía activó los protocolos de seguridad previstos para este tipo de situaciones, así como medidas técnicas y organizativas para contener el acceso, reducir sus efectos y evitar que vuelva a producirse.
El portal especializado Escudo Digital informó del ataque el pasado 6 de enero y señaló que el presunto autor publicó detalles en un foro de la ‘dark web’. Según esta información, el atacante afirmaba haber obtenido más de 1 TB de datos correspondientes a más de 20 millones de personas.
Entre la información afectada se incluirían datos personales, financieros y energéticos, como direcciones postales, historial de facturación, identificadores de puntos de suministro (CUPS) y registros regulatorios relacionados con los contratos de electricidad y gas.