La energética Endesa ha confirmado haber sido víctima de un ataque informático masivo. Ha reconocido que, entre la información sustraída, podrían encontrarse datos bancarios de clientes, además de información personal sensible.
Según ha trasladado la propia compañía, el incidente podría afectar a millones de personas. Esto se debe a que Endesa cuenta con alrededor de diez millones de clientes en España, a los que suministra gas y electricidad. Además, opera en otros países europeos como Portugal, Alemania y los Países Bajos.
Tras detectar el ciberataque, Endesa ha comenzado a enviar comunicaciones directas a sus clientes. En estas comunicaciones, pide disculpas por la pérdida de datos y detalla el alcance de la brecha de seguridad.
En estas comunicaciones, la empresa informa de que entre los datos sustraídos figuran datos de contacto como dirección postal, número de teléfono y DNI. Asimismo, en algunos casos, también se sustrajeron números de cuenta bancaria.
Riesgo de suplantación y fraude
Aunque por el momento la compañía asegura que no se ha detectado un uso indebido de la información robada, advierte de que el autor o autores del ataque podrían intentar suplantar la identidad de los clientes. También podrían difundir los datos en foros digitales o utilizarlos para campañas de phishing y envío de mensajes fraudulentos.
Endesa considera “improbable” que el robo de información “se materialice en una afectación de alto riesgo para los derechos y libertades de los clientes”. No obstante, recomienda extremar la precaución ante comunicaciones sospechosas que puedan recibirse en los próximos días. Asimismo, insta a comunicar cualquier incidencia o acción anómala a través del teléfono de atención habilitado: 800 760 366.
Amenaza de venta de datos en el mercado negro
El portal especializado Escut Digital, que informó del ciberataque el pasado 6 de enero, ha señalado que el presunto pirata informático responsable del ataque asegura haber obtenido más de un terabyte de información de la compañía. Esta información correspondería a más de 20 millones de personas.
Según esta información, el atacante habría amenazado con vender los datos en el mercado negro si Endesa no accede al pago de un rescate. Esta circunstancia ha elevado la preocupación entre clientes y expertos en ciberseguridad.
La compañía continúa analizando el alcance del incidente. Recuerda la importancia de no facilitar datos personales o bancarios ante correos electrónicos, llamadas o mensajes cuya procedencia no esté plenamente verificada.
