Endesa Energía ha confirmado que un actor malicioso ha accedido de forma no autorizada a su plataforma comercial, lo que ha derivado en la posible extracción de datos personales sensibles de clientes vinculados a contratos de luz y gas. La compañía ha comenzado a notificar el suceso a los usuarios afectados, al tiempo que mantiene abierta una investigación interna para esclarecer el alcance real del acceso y reforzar sus medidas de protección.
Según la información facilitada por la propia empresa, el incidente consiste en un “acceso no autorizado e ilegítimo” que ha logrado superar las medidas de seguridad existentes en su entorno comercial. A partir de las primeras indagaciones, Endesa Energía señala que el actor malicioso “habría tenido acceso y podría haber exfiltrado” datos de contacto de los clientes, documentos de identidad y el IBAN asociado a los contratos. La compañía matiza que no se han visto comprometidas las contraseñas de acceso a los sistemas, un aspecto relevante para acotar el impacto inmediato del suceso.
No obstante, la tipología de la información afectada sitúa el incidente en un nivel de especial sensibilidad, ya que incluye datos que pueden ser utilizados para suplantaciones de identidad o fraudes financieros. Aunque Endesa afirma no haber detectado, por el momento, un uso indebido de los datos, reconoce que existe el riesgo de que estos puedan emplearse en campañas de phishing, spam o intentos de engaño personalizados.
En las comunicaciones remitidas a los usuarios afectados, la compañía recomienda extremar la precaución ante posibles mensajes o llamadas sospechosas que puedan recibirse en los próximos días. Asimismo, insta a comunicar cualquier actividad anómala o intento de fraude a través de un número de atención específico habilitado para este incidente.
Endesa considera “improbable” que el acceso no autorizado se materialice en una afectación de alto riesgo para los derechos y libertades de los clientes, aunque adopta un enfoque preventivo ante la naturaleza de los datos expuestos.
El reconocimiento del incidente llega después de que, durante la semana anterior, un hacker identificado como Spain asegurara en foros de la dark web haberse hecho con una base de datos de gran tamaño vinculada a Endesa. Según estas afirmaciones, publicadas por el diario especializado Escudo Digital, la información sustraída superaría el terabyte de volumen y contendría datos de más de 20 millones de clientes. Para respaldar la veracidad de su oferta, el actor compartió muestras de información y ha contactado con medios especializados, facilitando datos reales asociados a contratos recientes.
Aunque Endesa no ha confirmado oficialmente la magnitud de esas cifras, sí ha reconocido ahora un acceso indebido a su plataforma comercial y la exposición de datos personales. La compañía ha señalado que el suministro energético no se ha visto afectado en ningún momento, centrando el impacto exclusivamente en el ámbito de la información de clientes.
Nada más tener conocimiento del acceso no autorizado, Endesa Energía activó los protocolos y procedimientos de seguridad previstos para este tipo de incidentes. La empresa afirma haber aplicado medidas técnicas y organizativas adicionales para contener el acceso, mitigar sus efectos y evitar que se repita en el futuro. Asimismo, ha procedido a notificar el incidente a la Agencia Española de Protección de Datos, en cumplimiento de la normativa vigente en materia de protección de datos personales.
La investigación continúa abierta y, por el momento, la compañía no ha realizado una comunicación pública amplia más allá de los avisos a los clientes potencialmente afectados.