Endesa Energía ha confirmado un acceso no autorizado a su plataforma comercial. La compañía reconoce que de ahí se habrían extraído datos de clientes, incluidos documentos de identidad (DNI) y medios de pago.
Según su investigación, el atacante habría tenido acceso a información de contacto, documentos de identidad y el IBAN de cuentas bancarias, aunque las contraseñas no se han visto afectadas. Endesa ya está avisando por correo electrónico a los usuarios afectados y asegura que, por ahora, no ha detectado un uso indebido de los datos.
¿Qué ha confirmado Endesa Energía sobre el acceso a su plataforma?
Endesa Energía ha comunicado un “acceso no autorizado e ilegítimo” a su plataforma comercial, que habría terminado con la extracción de información de clientes asociada a contratos de luz y gas. Según la compañía, un actor malicioso consiguió superar las medidas de seguridad del sistema y acceder a datos personales sensibles.
Tras detectar el incidente, Endesa activó de inmediato sus protocolos de seguridad y aplicó medidas técnicas y organizativas para contenerlo, mitigar sus efectos y evitar que se repita. Además, ya ha empezado a notificar a las personas afectadas mediante correo electrónico.
La investigación interna de Endesa sostiene que el atacante “habría tenido acceso y podría haber exfiltrado” datos. La información comprometida que se menciona incluye datos personales, financieros, energéticos y regulatorios vinculados a clientes y contratos. A continuación mostramos todo lo filtrado:
| Tipo de información comprometida | Datos incluidos (según lo comunicado) |
|---|---|
| Datos personales | Nombres y apellidos, dirección postal y datos de contacto, documentos de identidad (DNI) |
| Datos financieros | IBAN de cuentas bancarias, historial de facturación y cuentas, medios de pago |
| Datos energéticos | CUPS (código del punto de suministro), contratos activos de luz y gas, datos del punto de suministro |
| Datos regulatorios | Listas Robinson, cuentas exentas e historial de incidencias |
Que aparezcan elementos como el IBAN (el número de cuenta bancario) o el DNI ya da una pista del nivel de sensibilidad. Y si además se incluyen datos energéticos como el CUPS, que es el código que identifica el punto de suministro de luz o gas, la información queda muy vinculada a contratos concretos. En el apartado regulatorio se citan, por ejemplo, las listas Robinson (registros para limitar publicidad) y el historial de incidencias, lo que también puede aportar contexto personal y administrativo sobre el cliente.
¿Qué ha dicho Escudo Digital sobre la dark web y el volumen de información?
El portal Escudo Digital, que informó sobre el hackeo el 6 de enero, indica que el atacante publicó detalles del incidente en un foro de la dark web el 4 de enero. La “dark web” se refiere a espacios de internet a los que no se accede como a una web normal y donde suelen moverse contenidos y foros difíciles de rastrear.
Según Escudo Digital, el atacante aseguró haber obtenido más de 1 TB de información de la compañía y que el impacto afectaría a más de 20 millones de personas. El propio portal añade una valoración literal sobre el contenido: “por los nombres de tablas y ficheros, el nivel de sensibilidad de los datos es extremo”.
Endesa afirma que no ha detectado un uso indebido de los datos por el momento. Cualquier novedad que se haga pública sobre este tema, la mostraremos en nuestra sección de actualidad.
