Endesa Energía ha reconocido un incidente de seguridad en su plataforma comercial tras detectar un acceso no autorizado que ha permitido la posible extracción de datos personales vinculados a contratos de luz y gas.
Según ha informado la propia compañía, un actor malicioso logró sobrepasar las medidas de seguridad existentes y acceder de forma ilegítima a información sensible de los clientes. La empresa ya ha comenzado a notificar el incidente a los usuarios afectados mediante correo electrónico.
DNI, datos de contacto e IBAN, entre la información afectada
De acuerdo con la investigación interna en curso, el atacante “habría tenido acceso y podría haber exfiltrado” datos de contacto, documentos de identidad y el IBAN de las cuentas bancarias asociadas a los contratos. Endesa Energía ha subrayado que las contraseñas de acceso a los servicios no se han visto comprometidas.
Aunque por el momento no se ha detectado un uso indebido de la información sustraída, la compañía advierte de posibles riesgos derivados, como intentos de suplantación de identidad, publicación de datos en foros digitales o el envío de comunicaciones fraudulentas en campañas de phishing o spam.
ENDESA ve "improbable" un alto riesgo, pero pide precaución
En la comunicación remitida a los clientes, Endesa Energía considera “improbable” que el incidente derive en una afectación de alto riesgo para los derechos y libertades de los usuarios. No obstante, recomienda extremar la precaución ante posibles mensajes o correos sospechosos en los próximos días y comunicar cualquier actividad anómala a través del teléfono habilitado: 800 760 366.
Activación de protocolos de seguridad
Nada más tener conocimiento del incidente, la compañía ha activado los protocolos y procedimientos de seguridad previstos para este tipo de situaciones, así como “todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro”.