Escrito por: Jerónimo Corregido
La empresa de energía ha comunicado que sus sistemas de seguridad fueron vulnerados. Esto podría tener un impacto sobre los usuarios, por lo que hay una alerta para no responder comunicaciones sospechosas. Sigue la investigación para determinar el alcance del fraude en Endesa.
Ciberataque a Endesa: recomendaciones para clientes ante posible filtración de datos e IBAN.
Sobre el fraude a Endesa: qué fue lo que pasó
En el mes de enero se produjo un ciberataque a Endesa, la empresa de energía de España. Según fue difundido en el sitio oficial, la plataforma sufrió un acceso no permitido, que habría vulnerado las bases de datos donde se almacena la información sobre los clientes.
Esto quiere decir que los contratos energéticos de miles de usuarios podrían haber pasado a manos de terceros no autorizados. Los datos incluyen el nombre y apellido del cliente, su DNI, método de pago (IBAN u otro), y los detalles de la contratación de energía. Sin embargo, según afirmó Endesa, las contraseñas no fueron afectadas.
Se trata de una brecha de seguridad grave que supone un fraude a Endesa como pocas veces se ha visto. La empresa aclaró que su plataforma está regida por fuertes estándares de protección de datos, pero no fueron suficientes para controlar el ataque.
Tras el incidente se pusieron en marcha medidas extra de seguridad para mitigar los posibles efectos. Esto implicó la comunicación con todos los usuarios que pudieran estar afectados. Quienes hayan tenido sus cuentas comprometidas, fueron bloqueados temporariamente del sistema.
También se procedió al análisis de los registros de actividad, en función de detectar casos sospechosos. Además, tras el fraude, Endesa ha reforzado su capacidad técnica para realizar una investigación del caso. Las fuerzas de seguridad y la Agencia Española de Protección de Datos fueron debidamente notificadas.
No solo se está llevando a cabo una pesquisa sobre el ciberataque a Endesa, sino también sobre los sistemas de los proveedores. Según se ha comunicado, no hay constancia de que los datos filtrados hayan sido utilizados con fines fraudulentos, al menos por el momento. Las averiguaciones continúan.
Los riesgos tras el ataque a Endesa: fraude a la vista
La empresa especificó que, con la información robada, los atacantes podrían efectuar algún tipo de suplantación de la identidad de los usuarios. Esto consiste es utilizar el nombre, su imagen o su correo electrónico para distintos fines, por ejemplo, para evitar el pago de impuestos en plataformas de juego online, como ya se ha visto en España.
Otra de las hipótesis es que los datos sean usados para campañas de phishing o smishing, que representan estafas vía email o SMS, respectivamente. Es decir: los usuarios podrían comenzar a recibir campañas engañosas, en las que los estafadores se hacen pasar por una institución o una empresa para ganarse la confianza de las víctimas.
Así pues, la firma energética ha indicado que los clientes deben tomar especial recaudo en caso de recibir spam. Se puede denunciar el fraude con Endesa a través de su número telefónico: 800.760.366.
Desde la organización de consumidores EKA-OCUV han enfatizado que el caso debe servir como lección, y que representa un hecho de suma gravedad, aunque no se hayan dado estafas directas a los clientes. Asimismo, recomiendan desconfiar de llamados o SMS de números desconocidos, y evitar el ingreso a cualquier enlace enviado desde fuentes sospechosas.
Otra sugerencia de EKA-OCUV es monitorear la cuenta bancaria, en caso de notar movimientos extraños. Cualquier documentación, sea carta o email, enviada por Endesa sobre este caso puede servir como prueba de la responsabilidad de la empresa en caso de que, en el futuro, algún fraude se vuelva efectivo.
Esto significa que Endesa no se ha librado del problema. Si eventualmente hay un perjuicio material para los damnificados, la compañía energética deberá responder ante la ley.
