Energía XXI, comercializadora de referencia de Endesa, ha enviado una carta a sus clientes, muchos de ellos almerienses por ser operador dominante en esta provincia, en la que comunica que ha detectado un incidente de seguridad que ha permitido el acceso no autorizado e ilegítimo a su plataforma comercial. “Este incidente ha comprometido la confidencialidad de ciertos datos de los que Energía XXI es responsable”.

Endesa pide a sus clientes que extremen la precaución sobre las comunicaciones que se reciban los próximos días por la posibilidad de que se lleven a cabo campañas de phishing -suplantación de la identidad de la empresa- o de envío de spam.

La compañía informa que los atacantes podrían haber extraído de sus sistemas ciertos datos personales de los clientes que constan en los contratos energéticos. En concreto, se habla de “datos identificativos básicos, de contacto, DNIs y datos relativos a su contrato con Endesa Energía y eventualmente sus medios de pago (IBAN)”. No constan afectaciones en las contraseñas de los usuarios.

El principal riesgo que se advierte es el de que el atacante usurpe o suplante la identidad del cliente, que publique los datos online -lo que haría perder el control sobre ellos- o utilizarlos para campañas de phishing o envío de spam. Desde la asociación de consumidores Facua recomiendan “prestar atención a cualquier comunicación sospechosa o solicitudes de acciones inusuales tanto por correo electrónico como por teléfono, pues los ciberdelincuentes podrían utilizar estos datos para intentar perpetrar fraudes o estafas”. Uno de los datos extraídos son los IBAN, los identificadores de las cuentas del banco que constaban en los contratos de los clientes. En caso de que se produzcan cargos en la cuenta, al no haber sido aprobados por el titular se podrían devolver.

Para detectar impactos, hay que revisar periódicamente las cuentas bancarias y los perfiles online para detectar movimientos no autorizados o acciones que no se hayan hecho.

Una de las formas más habituales para intentar monetizar la información robada es contactar con los clientes mediante correos electrónicos, SMS o llamadas fraudulentas, en las que se hacen pasar por comunicaciones legítimas.