La compañía eléctrica Endesa ha comunicado a sus clientes que ha sufrido un ciberaataque en el que se ha producido la sustracción de sus datos personales y financieros. Los afectados pertenecen tanto a Endesa Energía, la comercializadora de mercado libre, como a Energía XXI, que opera en el mercado regulado. Fuentes de la compañía han explicado a este medio que aún no pueden informar del número exacto de afectados.
Según detalla el comunicado enviado a los usuarios, la investigación interna indica que los ciberdelincuentes han tenido acceso a una base de datos que incluye nombres, apellidos, datos de contacto y números de Documento Nacional de Identidad (DNI). Asimismo, la brecha de seguridad ha expuesto información relativa a los contratos de energía y, en determinados casos, los códigos IBAN de las cuentas bancarias asociadas a los pagos. La compañía especifica que las contraseñas de acceso de los usuarios no se han visto comprometidas en este incidente.
Entre ambas comercializadoras suman unos diez millones de usuarios en total. Sin embargo, antiguos clientes de Endesa también están recibiendo la notificación del robo de datos, según han informado algunos de ellos a elDiario.es.
La empresa ha notificado los hechos a la Agencia Española de Protección de Datos (AEPD) y a las Fuerzas y Cuerpos de Seguridad del Estado, tal como establece la normativa. En respuesta al ataque, la compañía ha bloqueado a los usuarios cuyo acceso había sido comprometidos y ha lanzado un análisis de los registros de actividad. Endesa asegura que sus servicios operan con normalidad tras la contención del incidente.
La comunicación advierte sobre el riesgo de que los datos sustraídos sean utilizados para intentos de suplantación de identidad o para la ejecución de campañas de phishing (envío de correos fraudulentos) y spam. La eléctrica recomienda a los usuarios desconfiar de comunicaciones sospechosas y evitar facilitar información personal a fuentes no verificadas. También ha habilitado un canal de contacto (800 760 366 para los clientes de Endesa Energía, y 800 760 250 para los de Energía XXI) para resolver las dudas de los afectados.
Como alerta la compañía, este tipo de ataques suelen ser la antesala de las estafas de suplantación de identidad. En ellas, los ciberdelincuentes se hacen pasar por empresas o instituciones confiables para la víctima, ganándose su confianza gracias a los datos robados. En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía.
El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.