Endesa Energía ha reconegut aquest dilluns que ha rebut un ciberatac contra la seva plataforma comercial amb l'extracció de dades de clients relacionades amb els seus contractes, incloent-hi el document d'identitat i els mitjans de pagament.
Un hacker maliciós ha superat les mesures de seguretat. L'empresa ja ho ha començat a comunicar als afectats per correu electrònic. Es tracta d'un "accés no autoritzat i il·legítim", segons la companyia, que permet el robatori de dades confidencials als clients de llum i gas.
L'actor maliciós podria haver extret les dades de contacte, així com l'IBAN i les dades bancàries, però no s'han vist afectades les contrasenyes d'accés.
"Malgrat les mesures de seguretat implementades per aquesta companyia, hem detectat indicis d'un accés no autoritzat i il·legítim a certes dades personals dels nostres clients relatius als seus contractes energètics, entre els quals es troben els seus", diu el correu electrònic adreçat als clients, on aclareix que "s'han activat els protocols i procediments de seguretat" així que s'ha tingut notícia de la invasió no autoritzada. També s'empren "les mesures tècniques i organitzatives per a contenir, mitigar els efectes i prevenir que no es repeteixi en un futur". És per això que s'ha bloquejat als usuaris i s'està fent un seguiment especial.
Endesa Energía ha traslladat l'incident a l'Agència Espanyola de Protecció de Dades. Hi ha una investigació en curs, tant en l'àmbit intern com dels proveïdors.
Ara per ara, però, "no hi ha constància que s'hagi dut a terme un ús fraudulent de les dades afectades per l'incident", i ha qualificat d'"improbable" que hagi passat. Malgrat tot, l'empresa alerta que els atacants podrien intentar "usurpar o suplantar la identitat", publicar dades "amb la corresponent pèrdua de control sobre elles" o fer-les servir per emprendre accions de phishing o spam. En cas de sospites, posa el telèfon 800760366 a disposició dels clients.