Endesa ha informado de una grave violación de seguridad que ha permitido el acceso no autorizado e ilegítimo a su plataforma comercial y ha comprometido datos personales de sus clientes, nombres, DNIs, datos de contacto y medios de pago (IBAN).

Como adelantan nuestros compañeros de MCPRO, Endesa ha notificado el incidente a sus usuarios mediante correo electrónico y a las autoridades competentes, incluyendo la Agencia Española de Protección de Datos como es preceptivo. También dice «haber activado los protocolos y procedimientos de seguridad establecidos al efecto, así como todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro, permitiendo así contener de manera inmediata y satisfactoria el incidente detectado e impidiendo el acceso no autorizado».

Dichas medidas incluyen, entre otras, el bloqueo inmediato de los usuarios de acceso comprometidos, el análisis de los registros logs y la notificación a todos los clientes cuyos datos han sido comprometidos. Igualmente, se está realizando un seguimiento continuo especial de los sistemas para detectar cualquier actividad sospechosa, tanto interna como de sus proveedores.

Caso Endesa: extrema las precauciones de seguridad

La compañía es una de las principales suministradoras/distribuidoras de energía en España y desde Endesa Energía y sus filiales tienen más de diez millones de clientes en España. Aunque la compañía asegura que los atacantes no han conseguido las contraseñas de usuario y que en la fecha del anuncio «no hay constancia de que se haya realizado uso fraudulento alguno de los datos afectados por el incidente», el caso es grave y los clientes deben extremar las precauciones.

Tras grandes violaciones de datos como esta, que afecta a los clientes de Endesa Energía (comercializadora de mercado libre) y Endesa XXI que opera en el mercado regulado, los ciberdelincuentes ponen en marcha campañas de maliciosas para suplantar identidades, usurpar la de los usuarios, lanzar acciones de spam o de phishing o poner en marcha fraudes de toda condición haciendo uso de los datos robados.

La respuesta a nivel de usuario debe ser precaución máxima ante la recepción de correos electrónicos, llamadas telefónicas o mensajes en redes sociales potencialmente fraudulentos. Desconfía por defecto de estas comunicaciones y no envíes ningún tipo de información personal. Bastante es la que ya han conseguido los atacantes. No se ha explicado cómo han podido hacerse con una base de datos que puede afectar a más de diez millones de clientes.

Además de extremar la precaución en las comunicaciones, personalmente cambiaría de inmediato la contraseña de acceso a los servicios de Endesa. Aunque la compañía asegure que no ha sido comprometida, nunca está demás para reforzar la seguridad. Y teniendo en cuenta que los atacantes han robado los números de cuentas bancarias, revisa también las mismas ante cualquier cargo no autorizado.

Endesa tiene un centro de atención telefónica oficial en el 800.760.366 y un delegado de Protección de Datos en el correo electrónico: contactodpo@endesa.es que puedes usar. Además, el Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad.