¿Cómo afecta a los aragoneses el hackeo a Endesa?: la empresa notifica el ataque a los afectados

Los cibercriminales continúan poniendo en tela de juicio los sistemas de seguridad de las empresas y administraciones españolas. Sin importar el tamaño, detrás de cada hackeo se esconden distintas motivaciones, que en estos casos son esencialmente económicas. En ese sentido, este diario informó la pasada semana de un ataque a la clínica sanitaria privada Palafox de Zaragoza, perpetrado por el grupo Dragonforce, que expuso en la dark web hasta 98 gigabytes de información sensible de la empresa y sus pacientes. Pero el caso más sonado de lo que va de año lo ha sufrido Endesa Energía.

La compañía energética reconoció recientemente un acceso no autorizado a su plataforma comercial, el cual ha expuesto datos igualmente sensible de los clientes que van desde sus contratos y datos personales hasta sus medios de pago. En Aragón, la compañía cuenta con 900.000 puntos de suministro y más de 600.000 usuarios, aunque desde Endesa indican que no tienen el cálculo de a cúantos de ellos les afectaría este hackeo, que según varias fuentes especializadas ha sido ejecutado por 'Spain', un lobo solitario que no pertenece a ningún grupo.

El propio hacker, en algunos foros, ha asegurado que ha contactado con la empresa y que cuenta con "20 millones de registros" en su poder, aunque se muestra dispuesto a colaborar con Endesa, pese a que asegura que, por el momento, no ha conseguido contactar con ellos. Por el momento, según algunas fuentes, ya habría colgado información de unos 50.000 clientes de toda España.

En estos casos, la compañía atacada, la víctima, está obligada a informar a las autoridades en menos de 72 horas, en este caso a la Agencia Española de Protección de Datos (AEPD). Y, según el volumen y la importancia de la información sustraída, debe ponerlo en conocimiento de sus clientes, como así lleva haciendo en los últimos días. En la carta, remitida por correo electrónico a los distintos usuarios que han podido verse afectados, Endesa reconoce que han detectado un "incidente de seguridad" que ha comprometido la "confidencialidad de ciertos datos de los que Endesa Energía es responsable".

Las explicaciones de la compañía

"El actor malicioso (por el hacker) habría tenido acceso y podría haber exfiltrado de nuestros sistemas datos identificativos básicos, de contacto, DNIs y datos relativos a su contrato con Endesa Energía y eventualmente sus medios de pago (IBANs), si bien, en ningún caso, se han visto comprometidos datos de acceso a contraseñas", añaden en la misiva, en la que también defienden que se han activado los protocolos de seguridad y que han logrado contener "de manera inmediata y satisfactoria" el ataque.

Asimismo, subrayan que ya han notificado la situación a la AEPD, aunque en cualquier caso inciden en que es "improbable que se materialice una afectación de alto riesgo" para los "derechos y libertades" de los clientes. Y recomiendan prestar "especial atención" a posibles comunicaciones sospechosas que estos puedan recibir en los próximos días, y si esto pasa, ruegan que se comunique a la propia empresa y de las Fuerzas y Cuerpos de Seguridad del Estado.

Las recomendaciones de la UCA

Esta delicada situación ha provocado la reacción de las organizaciones de consumidores de Aragón, como la UCA, que ha lanzado una serie de recomendaciones "básicas" para los clientes afectados. Por un lado, sugieren vigilar "posibles adquisiciones de productos o servicios no realizadas por el cliente, así como modificaciones en su contrato". Del mismo modo, pese a que Endesa asegura que las contraseñas no se han visto comprometidas, la UCA (Unión de Consumidores de Aragón) recomienda aconseja modificarlas.

Por otra parte, en el caso de que un usuario que ya no tenga relación con la compañía energética y haya recibido la notificación, la UCA explica que existe el derecho de "supresión de sus datos de carácter personal", que pueden solicitar en la web de la AEPD. En la línea de lo expuesto por Endesa, recomiendan vigilar los movimientos realizados y desconfiar de "cualquier mensaje, correo o llamada". En caso de duda, lo conveniente es llamar al teléfono "oficial" de la compañía, no al que le proporcionen los posibles estafadores.