Endesa Confirma Incidente de Seguridad Tras Declaración de Actor de Amenazas
La empresa energética española Endesa ha confirmado un incidente de seguridad que resultó en el acceso no autorizado a su plataforma comercial, comprometiendo datos de clientes. Endesa es la mayor proveedora de electricidad en España, sirviendo a más de 10 millones de clientes. La confirmación del incidente se produce después de que un actor de amenazas publicara en un foro de ciberdelincuencia alegando haber robado 1.05 terabytes de datos de la compañía.
Según el comunicado de Endesa Energía, el incidente permitió el acceso “no autorizado e ilegítimo” a datos personales de clientes.
Datos Comprometidos y Medidas de Respuesta
Los datos que se vieron potencialmente comprometidos en el incidente incluyen:
- Datos de identificación del cliente
- Información de contacto
- Números de identificación nacional (DNI)
- Datos del contrato
- Posiblemente números IBAN
Endesa aclaró que no hay evidencia de que las contraseñas de los clientes hayan sido accedidas por los atacantes. Tras detectar el incidente, la compañía activó protocolos de seguridad y bloqueó los accesos comprometidos. Endesa ha notificado a los clientes afectados y a las autoridades pertinentes, incluida la Agencia Española de Protección de Datos. La empresa está llevando a cabo un monitoreo continuo y ha iniciado una investigación con sus proveedores.
Evaluación de Riesgos y Recomendaciones
A pesar del robo de datos, Endesa afirma que hasta la fecha de la comunicación no hay pruebas de uso fraudulento de los datos. La empresa considera improbable un impacto de alto riesgo para los clientes. Sin embargo, advierte que los ciberdelincuentes podrían intentar suplantar la identidad de los clientes, publicar los datos robados o utilizarlos para lanzar campañas de phishing o spam.
Endesa insta a los clientes a mantenerse alerta ante llamadas, correos electrónicos o mensajes sospechosos y a no compartir información personal o sensible con contactos desconocidos. La compañía ha proporcionado un número de atención al cliente (800.760.366) para que los afectados reporten cualquier preocupación o sospecha de fraude.
Reclamo del Actor de Amenazas
De forma paralela al anuncio de Endesa, un actor de amenazas afirmó en un foro de hacking haber robado 1.05 terabytes de datos de la empresa, alegando tener “acceso a todo” y poseer una base de datos de más de 20 millones de personas. El actor de amenazas puso los datos a la venta en el foro.
El incidente subraya la importancia de la ciberseguridad en infraestructuras críticas y la necesidad de una vigilancia constante por parte de las empresas y sus clientes frente a posibles fraudes.
Referencias
- Compañía Afectada: Endesa Energía
- Autoridad de Protección de Datos Notificada: Agencia Española de Protección de Datos (AEPD)
- Datos Comprometidos: Información de identificación, contacto, números de identificación nacional, datos de contrato, posiblemente IBANs.