«»Estimado cliente,
para Endesa Energía S.A. (“Endesa Energía”), la protección de la privacidad y la seguridad de los datos personales que tratamos es un compromiso prioritario, así como la transparencia en la comunicación de cualquier aspecto relevante al respecto.
En este sentido, lamentamos comunicarle que Endesa Energía ha detectado un incidente de seguridad, que ha permitido el acceso no autorizado e ilegítimo a su plataforma comercial. Este incidente ha comprometido la confidencialidad de ciertos datos de los que Endesa Energía es responsable.
A pesar de las medidas de seguridad implementadas por esta compañía, hemos detectado evidencias de un acceso no autorizado e ilegítimo a ciertos datos personales de nuestros clientes relativos a sus contratos energéticos entre los cuales se encuentran los suyos. La investigación en el momento actual refleja que el actor malicioso habría tenido acceso y podría haber exfiltrado de nuestros sistemas datos identificativos básicos, de contacto, DNIs y datos relativos a su contrato con Endesa Energía y eventualmente sus medios de pago (IBANs), si bien, en ningún caso, se han visto comprometidos datos de acceso a contraseñas.
En cuanto Endesa Energía ha tenido conocimiento del incidente, se han activado los protocolos y procedimientos de seguridad establecidos al efecto, así como todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro, permitiendo así contener de manera inmediata y satisfactoria el incidente detectado e impidiendo el acceso no autorizado. Dichas medidas incluyen, entre otras, el bloqueo inmediato de los usuarios de acceso comprometidos, el análisis de los registros logs y la notificación a todos los clientes cuyos datos han sido comprometidos. Igualmente, se está realizando un seguimiento continuo especial de los sistemas para detectar cualquier actividad sospechosa. Asimismo, cumpliendo con la normativa aplicable, tras una valoración inicial del incidente, Endesa Energía ha notificado el incidente a las autoridades competentes, incluyendo la Agencia Española de Protección de Datos. La investigación tanto a nivel interno como con nuestros proveedores continúa en curso para obtener una comprensión completa de lo sucedido y tomar cualquier otra medida que sea necesaria.
A fecha de esta comunicación, no hay constancia de que se haya realizado uso fraudulento alguno de los datos afectados por el incidente, resultando improbable que se materialice una afectación de alto riesgo para sus derechos y libertades. Aun así, este acceso no autorizado a sus datos por parte del actor malicioso podría acarrear el intento, por su parte, de usurpar o suplantar su identidad, publicar dichos datos con la correspondiente pérdida de control sobre los mismos o utilizarlos para emprender acciones de phishing o envío de spam contra usted. Es por ello que le recomendamos que preste especial atención a posibles comunicaciones sospechosas que pudiera recibir en los próximos días y que comunique cualquier anomalía o desconfianza que pudiera detectar al respecto a través de nuestro centro de atención telefónica llamando al siguiente número de teléfono: 800.760.366.
Asimismo, le recomendamos que no proporcione datos personales o información sensible a personas que no conozca de primera mano y que, en caso de cualquier sospecha de uso fraudulento de su información o datos, lo ponga en nuestro conocimiento o en el de las Fuerzas y Cuerpos de Seguridad del Estado.
Tanto la operativa como los servicios de la compañía funcionan con total normalidad y puede seguir utilizándolos.
Rogamos disculpe cualquier inconveniente que este incidente pueda ocasionarle y le reiteramos nuestro compromiso con la seguridad y con el cumplimiento de la normativa de protección de datos. En cualquier caso, si tuviera cualquier duda sobre esta cuestión, puede ponerse en contacto con el Delegado de Protección de Datos de Endesa Energía en el siguiente correo electrónico: contactodpo@endesa.es
En caso de que, en el curso de los próximos días, obtengamos información adicional relevante sobre este incidente, nos pondremos en contacto con usted a la mayor brevedad.
Atentamente,»»
«Han jaqueado la base de datos de clientes de Endesa (cuentas, DNI, correos, teléfonos, consumos…) con lo que cabe la posibilidad que los usen para robarnos. ¿Qué pasos aconsejáis desde Unión de Consumidores?«
Endesa Energía ha empezado a comunicar el incidente de seguridad a sus clientes afectados, que ha puesto en riesgo datos tan sensibles como el documento de identidad y su cuenta bancaria, ante lo que se les pide que estén atentos a posibles intentos de fraude.
El ‘hackeo’ que ha sufrido recientemente la plataforma comercial de Endesa Energía reaviva la preocupación sobre la seguridad de los datos personales cuando son las propias empresas las que sufren una brecha de seguridad.
Endesa Energía admite un robo de datos «sensibles» de clientes con contratos de luz y gasLD/Agencias
Cuando ocurre, los usuarios a menudo desconocen qué información se ha visto comprometida y cómo puede ser utilizada posteriormente por los ciberdelincuentes. Porque, como explican desde la firma de seguridad ESET, «el riesgo no termina con la notificación de la brecha».
«La información expuesta puede ser reutilizada durante meses (o incluso años) para lanzar fraudes, suplantaciones de identidad o ataques dirigidos que aprovechan la confianza de los clientes en la empresa afectada», indican en una nota de prensa.
En el incidente de seguridad de Endesa Energía, un «actor malicioso» ha accedido a información de los contratos de luz y gas, como datos de contacto, documentos de identidad y el IBAN de la cuenta bancaria.
Con ellos, los cibercriminales pueden intentar usurpar o suplantar la identidad de los clientes, publicar los datos en foros digitales o utilizarlos para enviar correos o mensajes fraudulentos dentro de campañas de ‘phishing’ y de ‘spam’.
«Mantener la calma y actuar con criterio»
El director de Investigación y Concienciación de ESET España, Josep Albors, señala que, pese a la incertidumbre, es importante que las víctimas puedan «mantener la calma y actuar con criterio», y adoptar una actitud proactiva para reducir al máximo el posible impacto.
Ello pasa por mantenerse alerta ante comunicaciones sospechosas. Como explican desde ESET, hay que desconfiar de los mensajes que digan proceder de la empresa afectada y que incluyan enlaces, archivos adjuntos o solicitudes urgentes.
Ante la duda, aconsejan contactar directamente con la compañía por sus canales oficiales. Endesa Energía ha instado a sus clientes a comunicar cualquier acción sospechosa en el número de teléfono 800 760 366.
También hay que comprobar con frecuencia los perfiles ‘online’ y las cuentas bancarias que estuviesen recogidas en los contratos, para detectar movimientos, mensajes o acciones que no hayan realizado los usuarios.
Y aunque la empresa energética asegura que las contraseñas de los usuarios no se han visto afectadas, los expertos de ESET recomiendan cambiarlas igualmente, especialmente si llevan tiempo sin actualizarse.
