Un ciberatac a Endesa i Energia XXI compromet dades sensibles dels clients, inclosos DNI i mitjans de pagament

Endesa Energía ha reconegut un accés no autoritzat a la seua plataforma comercial que ha resultat en l’extracció de dades dels clients relacionats amb els seus contractes, inclosos el document d’identitat i els mitjans de pagament. Un actor maliciós ha sobrepassat les mesures de seguretat implementades per l’empresa a la seua plataforma comercial en un incident de seguretat recent, del que ja ha començat a notificar als usuaris afectats a través d’un correu electrònic. Aquest incident, un "accés no autoritzat i il·legítim", com l’exposa la companyia, ha resultat en l’extracció de dades personals sensibles dels clients relacionats amb els contractes de llum i gas. Els afectats també pertanyen a Energia XXI, que opera al mercat regulat.

Segons la investigació que ha iniciat la companyia, l’actor maliciós "hauria tingut accés i hi podria haver exfiltrat" dades de contacte, documents d’identitat i l’IBAN del compte bancari. Endesa Energía matisa que no s’han vist afectades les contrasenyes d’accés.

Encara que de moment no ha detectat un ús indegut de les dades robades, adverteix que l’actor maliciós podria intentar usurpar o suplantar la identitat dels clients, publicar les esmentades dades en fòrums digitals o utilitzar-los per enviar correus o missatges fraudulents dins de campanyes de 'phishing' i de 'spam’.

La companyia considera "improbable" que aquest robatori "es materialitzi en una afectació d’alt risc per als seus drets i llibertats", encara que recomana als clients que estiguin atents a "possibles comunicacions sospitoses que pogués rebre en els propers dies" i els insta a comunicar qualsevol acció sospitosa en el número de telèfon: 800 760 366. (Per als clients d’Energia XXI, el telèfon 800 760 250).

Tot just conèixer l’incident, Endesa Energía també ha activat els protocols i procediments de seguretat establerts per a aquests casos, així com "totes les mesures tècniques i organitzatives necessàries per contenir-lo, mitigar els seus efectes i prevenir que es repeteixi en el futur".

El portal 'Escudo Digital’, que va informar del 'hackeig' a Endesa el passat 6 de gener, va indicar que el pirata informàtic que ha dut a terme el presumpte atac cibernètic va publicar detalls sobre el mateix en un fòrum de la 'dark web' diumenge 4 de gener, on revelava que havia aconseguit més d’1 TB d’informació de la companyia referent a més de 20 milions de persones.

"Pels noms de taules i fitxers, el nivell de sensibilitat de les dades és extrem. Hi ha dades personals, com noms i cognoms, dades de contacte, adreça postal, i relació compte-persona; dades financeres, com IBAN, dades de facturació i historial de comptes i canvis; dades energètiques, com CUPS (identificador únic de punt de subministrament), contraactes actius de llum i gas, dades del punt de subministrament i dades regulatòries, com Llistes Robinson, comptes exempts i historial d’incidències," indicava 'Escudo Digital’.