Un atac informàtic extreu dades personals de clients d'Endesa
La companyia energètica reconeix un hackeig de la seva plataforma, però que no compromet les contrasenyes dels usuaris
BarcelonaEndesa Energía ha reconegut un accés no autoritzat a la plataforma comercial que ha donat com a resultat l'extracció de dades dels clients relacionats amb els seus contractes, inclosos el document d'identitat i els mitjans de pagament. Un actor maliciós ha sobrepassat les mesures de seguretat implantades per l'empresa a la plataforma comercial en un incident de seguretat recent, del qual ja ha començat a notificar als usuaris afectats a través d'un correu electrònic.
Aquest incident, un "accés no autoritzat i il·legítim", com exposa la companyia, ha ocasionat l'extracció de dades personals sensibles dels clients relacionats amb els contractes de llum i gas. Segons la investigació que ha iniciat la companyia, l'actor maliciós "hauria tingut accés i podria haver exfiltrat" dades de contacte, documents d'identitat i l'IBAN del compte bancari. Endesa Energía matisa que les contrasenyes d'accés no s'han vist afectades.
Tot i que de moment no ha detectat un ús indegut de les dades robades, adverteix que l'actor maliciós podria intentar usurpar o suplantar la identitat dels clients, publicar aquestes dades en fòrums digitals o utilitzar-les per enviar correus o missatges fraudulents dins de campanyes de phishing i spam. No obstant això, la companyia considera "improbable" que aquest robatori "es materialitzi en una afectació d'alt risc per als seus drets i llibertats", encara que recomana als clients que estiguin atents a "possibles comunicacions sospitoses que poguessin rebre els pròxims dies" i els insta a comunicar qualsevol acció sospitosa.
Activació de protocols de seguretat
Tot just conèixer l'incident, Endesa Energía també ha activat els protocols i procediments de seguretat establerts per a aquests casos, així com "totes les mesures tècniques i organitzatives necessàries per contenir-lo, mitigar-ne els efectes i prevenir que es repeteixi en el futur", així com una investigació interna amb els seus proveïdors tecnològics. A més, la companyia també ha informat l'Institut Nacional de Ciberseguretat (Incibe) i l'Agència Espanyola de Protecció de Dades, segons han confirmat a l'ARA fonts d'Endesa.
El portal Escudo Digital, que va informar del hackeig a Endesa el 6 de gener, ha indicat que el pirata informàtic que ha portat a terme el presumpte ciberatac en va publicar detalls en un fòrum del web fosc el diumenge 4 de gener, on revelava que havia obtingut més d'un terabyte (TB) d'informació. "Pels noms de taules i fitxers, el nivell de sensibilitat de les dades és extrem. Hi ha dades personals, com noms i cognoms, dades de contacte, adreça postal, i relació compte-persona; dades financeres, com IBAN, dades de facturació i historial de comptes i canvis; dades energètiques, com CUPS (identificador únic de punt de subministrament), CU reguladors, com Llistes Robinson, comptes exempts i historial d'incidències", indica Escudo Digital.