La eléctrica Endesa Energía ha informado a sus clientes sobre un ciberataque ha dado como resultado la extracción de datos personales y financieros. La notificación, remitida directamente a los usuarios, afecta a clientes de ambas ramas de la compañía: Endesa Energía, responsable del mercado libre, y Energía XXI, operadora en el ámbito regulado. La propia firma ha subrayado que el acceso ilícito por parte de actores maliciosos ha comprometido tanto la información de los contratos como, en algunos casos, los códigos IBAN vinculados a los pagos bancarios, aunque las contraseñas de usuario se han mantenido a salvo.
En el comunicado oficial, Endesa ha detallado que los ciberdelincuentes han conseguido acceder a una base de datos en la que figuran nombres, apellidos, información de contacto y los números de DNI. Asimismo, la compañía ha destacado desde el primer momento que la sustracción afecta a datos relacionados con los contratos de suministro eléctrico y de gas y, de forma puntual, a referencias bancarias de los usuarios afectados. Esta información ha sido recogida de manera directa en la comunicación transmitida por Endesa a sus clientes.
La compañía asegura que ha activado los protocolos de seguridad previstos para estos incidentes. Según Endesa, se han puesto en marcha todas las medidas técnicas y organizativas necesarias para contener el incidente, mitigar sus efectos y evitar que se repita en el futuro. A pesar de la magnitud de los datos comprometidos, la empresa ha subrayado en todo momento que las contraseñas de los clientes no se han visto comprometidas.
La investigación interna iniciada por Endesa sostiene que el atacante informático ha tenido acceso, y posiblemente ha exfiltrado, información sensible que incluye datos de contacto, documentos identificativos e IBAN de cuentas bancarias. Hasta la fecha, según ha trasladado la propia compañía en su comunicado, no se han constatado usos fraudulentos de los datos robados. No obstante, Endesa ya ha advertido a sus clientes sobre el riesgo de utilización de la información sustraída en intentos de suplantación de identidad, así como en la difusión de los datos a través de foros digitales o su utilización en campañas de correos y mensajes fraudulentos de tipo phishing o spam.
A fin de minimizar cualquier posible consecuencia, la empresa ha transmitido a sus usuarios que considera improbable que este incidente se traduzca en un riesgo elevado para los derechos y libertades de los clientes. Pese a ello, ha recomendado “prestar especial atención a posibles comunicaciones sospechosas” durante los próximos días y ha facilitado el número de teléfono 800 760 366 para que los afectados puedan comunicar cualquier actividad anómala. Toda esta información ha sido confirmada y trasladada por Endesa a los afectados.
Las dimensiones de la filtración
El alcance real de la brecha y la posible publicación de los datos han quedado reflejados tras las informaciones difundidas por el portal Escudo Digital, que fue el primero en informar sobre el ataque a Endesa el pasado 6 de enero. Según ha revelado Escudo Digital, el autor del ciberataque hizo públicos los detalles del incidente en un foro de la dark web el 4 de enero, asegurando haber accedido a más de 1 TB de datos confidenciales relacionados con más de 20 millones de personas.
El mismo medio ha desgranado el contenido y la sensibilidad de la información comprometida: “Por los nombres de tablas y ficheros, el nivel de sensibilidad de los datos es extremo. Hay datos personales, como nombres y apellidos, datos de contacto, dirección postal, y relación cuenta-persona; datos financieros, como IBAN, datos de facturación e historial de cuentas y cambios; datos energéticos, como CUPS (identificador único de punto de suministro), contratos activos de luz y gas, datos del punto de suministro y datos regulatorios, como Listas Robinson, cuentas exentas e historial de incidencias”, según ha señalado el propio Escudo Digital.