Según ha reconocido la propia empresa, un actor malicioso logró sobrepasar las medidas de seguridad implementadas y accedió de forma "no autorizada e ilegítima" a sistemas que almacenaban información vinculada a la relación contractual con los clientes. Como resultado, el atacante "habría tenido acceso y podría haber exfiltrado" datos de contacto, documentos de identidad, así como el IBAN de las cuentas bancarias utilizadas para la domiciliación de pagos. Endesa ha aclarado que las contraseñas de acceso a sus servicios no se han visto comprometidas.
El caso salió a la luz pública a raíz de una información publicada por el portal especializado Escudo Digital el pasado 6 de enero. Según este medio, el presunto autor del ciberataque habría publicado detalles del acceso en un foro de la ‘dark web’ el domingo 4 de enero, asegurando haberse hecho con más de 1 terabyte de información perteneciente a la compañía y relativa a más de 20 millones de personas.
De acuerdo con la información de Escudo Digital, los nombres de tablas y archivos filtrados apuntan a un nivel de sensibilidad “extremo”. Entre los datos supuestamente comprometidos figurarían nombres y apellidos, datos de contacto, direcciones postales y relaciones cuenta-persona; información financiera como IBAN, datos de facturación e historiales de cuentas; así como datos energéticos y regulatorios, incluyendo el CUPS —identificador único del punto de suministro—, contratos activos de luz y gas, información del punto de suministro, Listas Robinson, cuentas exentas e historiales de incidencias.
Aunque por el momento no se ha detectado un uso fraudulento de la información sustraída, la compañía advierte del riesgo potencial de suplantación de identidad, publicación de los datos en foros digitales o su utilización en campañas de ‘phishing’ y ‘spam’. En este contexto, Endesa recomienda a sus clientes extremar la precaución ante posibles comunicaciones sospechosas en los próximos días y comunicar cualquier incidencia.
Pese a la naturaleza sensible de los datos afectados, la empresa considera "improbable" que el incidente se traduzca en una afectación de alto riesgo para los derechos y libertades de los clientes. De forma paralela, asegura haber activado de inmediato los protocolos de seguridad internos y adoptado "todas las medidas técnicas y organizativas necesarias" para contener el ataque, mitigar sus efectos y evitar que se repita en el futuro.
El incidente se suma a una creciente lista de ciberataques que afectan a grandes compañías y vuelve a poner el foco en la protección de datos personales en sectores críticos como el energético, donde el volumen y la sensibilidad de la información manejada convierten a estas plataformas en objetivos especialmente atractivos para la ciberdelincuencia.
