Endesa Energía ha reconocido este lunes que ha recibido un ciberataque contra su plataforma comercial con la extracción de datos de clientes relacionados con sus contratos, incluidos el documento de identidad y los medios de pago.
Un hacker malicioso ha sobrepasado las medidas de seguridad. La empresa ya lo ha comenzado a comunicar a los afectados por correo electrónico. Se trata de un "acceso no autorizado e ilegítimo", según la compañía, que permite el robo de datos sensibles a los clientes de luz y gas.
El actor malicioso podría haber extraído los datos de contacto, así como el IBAN y los datos bancarios, pero no se han visto afectadas las contraseñas de acceso.
"A pesar de las medidas de seguridad implementadas por esta compañía, hemos detectado evidencias de un acceso no autorizado e ilegítimo a ciertos datos personales de nuestros clientes relativos a sus contratos energéticos entre los cuales se encuentran los suyos", dice el correo electrónico dirigido a los clientes, donde aclara que "se han activado los protocolos y procedimientos de seguridad" en cuanto se ha tenido noticia de la invasión no autorizada. Se emplean también "las medidas técnicas y organizativas para contener, mitigar los efectos y prevenir que no se repita en un futuro". Por ello que se ha bloqueado a los usuarios y se está haciendo un seguimiento especial.
Endesa Energía ha trasladado el incidente a la Agencia Española de Protección de Datos. Hay una investigación en curso, tanto en el ámbito interno como de los proveedores.
Por ahora, sin embargo, "no hay constancia de que se haya realizado uso fraudulento de los datos afectados por el incidente", y ha calificado de "improbable" que haya sucedido. Aun así, la empresa alerta de que los atacantes podrían intentar "usurpar o suplantar la identidad", publicar datos "con la correspondiente pérdida de control sobre los mismos" o utilizarlos para emprender acciones de phishing o spam. En caso de sospechas, pone el teléfono 800760366 a disposición de sus clientes.