El gigante de la electricidad Endesa reconoció que el incidente, aunque ya está contenido, permitió a un actor malicioso acceder a su sistema. Los datos que «podrían haber exfiltrado» incluyen información personal de contacto, el DNI, detalles relativos al contrato con Energía XXI y, potencialmente, los medios de pago como el IBAN de la cuenta bancaria.
“"Lamentamos comunicarle que Energía XXI ha detectado un incidente de seguridad que ha permitido el acceso no autorizado e ilegítimo a su plataforma comercial."
La empresa ha indicado que, a pesar de la gravedad de la filtración de datos sensibles, las contraseñas y los datos de acceso de los clientes no se vieron comprometidos. Sin embargo, advierten que el acceso ilícito a esta información «podría conllevar el intento de suplantar su identidad, publicar estos datos o utilizarlos para llevar a cabo acciones de phishing o el envío de spam».
Ante este riesgo, la firma de ciberinvestigación onBRANDING recomienda a los clientes desconfiar de cualquier comunicación que «solicite datos o incluya enlaces», ya sea por correo electrónico, SMS o WhatsApp. Es crucial no facilitar nunca información personal ni bancaria y revisar de forma recurrente los movimientos bancarios.
Como medidas de seguridad esenciales, se aconseja cambiar las contraseñas importantes y activar el doble factor de autenticación para reforzar la protección de las cuentas. Los clientes que deseen verificar si su dirección de correo electrónico ha sido filtrada pueden utilizar el buscador del sitio web de ciberseguridad Have I Been Pwned. En caso de sospecha, Endesa recomienda contactar con su centro de atención telefónica llamando al 800 760 250.
