Endesa Energía ha reconocido haber sido víctima de un hackeo que permitió un acceso no autorizado a su plataforma comercial, provocando la extracción de datos sensibles de clientes con contratos de luz y gas, entre ellos documentos de identidad y medios de pago.

La compañía ha explicado que un actor malicioso logró superar las medidas de seguridad implementadas en sus sistemas, lo que derivó en un “acceso ilegítimo” a información personal. Endesa ya ha comenzado a notificar a los usuarios potencialmente afectados a través de correo electrónico.

Según la investigación interna en curso, el atacante habría tenido acceso y podría haber exfiltrado datos de contacto, documentos de identidad y el IBAN de las cuentas bancarias asociadas a los contratos. La empresa ha aclarado que las contraseñas de acceso a sus servicios no se han visto comprometidas.

Aunque por el momento no se ha detectado un uso fraudulento de los datos, Endesa advierte de posibles intentos de suplantación de identidad, envío de correos o mensajes fraudulentos y campañas de ‘phishing’ o ‘spam’. Por este motivo, recomienda a los clientes extremar la precaución ante comunicaciones sospechosas.

La empresa ha activado de forma inmediata sus protocolos de seguridad y ha adoptado medidas técnicas y organizativas para contener el incidente, mitigar sus efectos y evitar que se repita. Además, ha habilitado el teléfono 800 760 366 para que los usuarios puedan comunicar cualquier actividad irregular.

El portal especializado ‘Escudo Digital’ informó que el presunto autor del hackeo publicó detalles del ataque en un foro de la ‘dark web’ el pasado 4 de enero, asegurando haber obtenido más de 1 TB de información correspondiente a más de 20 millones de personas, incluidos datos personales, financieros y energéticos de alto nivel de sensibilidad.