El hackeo ocurrido sobre Endesa el pasado 12 de enero ha traído de cabeza a los clientes en España, que ya están empezando a tomar medidas de cara a proteger sus datos personales.

Los clientes de la compañía han recibido un correo explicativo sobre lo sucedido, aclarando el "incidente de seguridad" que ha permitido el robo de datos confidenciales claramente sensibles.

En este sentido, Endesa ha detallado que entre los datos filtrados se encuentran datos de contacto, "datos identificativos básicos", DNIs, IBANs bancarios y datos relativos a los contratos.

La naturaleza del hackeo

La empresa ha enviado un correo electrónico a los clientes adscritos a sus servicios. En él, se incide sobre el "acceso no autorizado e ilegítimo" a la plataforma comercial en cuestión, causando el robo de datos.

Admiten que la confidencialidad de ciertos datos ha sido comprometida, y adelantan algunas medidas de seguridad implementadas para prevenir consecuencias directas de la situación.

La investigación llevada a cabo por Endesa ha expuesto que "ciertos datos personales" de los clientes, relativos a los contratos energéticos han sido afectados en este acceso por parte de un actor de amenazas externo.

"El actor habría tenido acceso y podría haber exfiltrado de nuestros sistemas datos identificativos básicos, de contacto, DNIs y datos relativos a su contrato con Endesa", aclara el correo.

El mayor problema reside en los datos relacionados a los medios de pago (IBANs) detallados en el contrato. Eso sí, Endesa afirma que no se han visto comprometidos datos de acceso a contraseñas.

La proveedora de servicios energéticos ha confirmado el bloqueo inmediato de los usuarios de acceso comprometidos, el análisis de registros logs y la notificación a todos los clientes cuyos datos han sido comprometidos.

Cabe aclarar que la propia Endesa ha asegurado no tener constancia de que haya habido un "uso fraudulento" de los datos afectados a raíz del incidente, al menos a fecha de escrito este artículo.

Así, dice Endesa, resulta improbable "que se materialice una afectación de alto riesgo para sus derechos y libertades", reconociendo que existen ciertos riesgos a tener en cuenta de cara al futuro.

A los riesgos de suplantación de identidad se le suman ciertos tipos de ataques que podrían afectar a las víctimas de los datos filtrados, como campañas de phishing o intentos de cargos por domiciliación.

Y es que recordemos que se han filtrado datos de contacto, que van desde los nombres hasta los apellidos, pasando por las fechas de nacimiento, teléfono, correo electrónico, así como el DNI.

En caso de haber accedido al IBAN del usuario, un atacante podría domiciliar recibos de forma fraudulenta con servicios de todo tipo, o realizar ataques phishing tremendamente creíbles.

Un ataque phishing consiste en la suplantación de una compañía u organización para intentar estafar al usuario. Por ejemplo, los afectados podrían recibir llamadas o SMS con datos extraídos del hackeo para hacer sus estafas creíbles.

El escenario más improbable pero posible es el de la suplantación. Un atacante podría aprovechar todos estos datos para hacer trámites o contratos haciéndose pasar por una persona.

¿Qué puedo hacer?

Existen metodologías para intentar protegerse de estas situaciones, aunque debemos aclarar que no son medidas perfectas. El usuario será, al final, la última línea de defensa.

Es importantísimo que el afectado active todas las alertas y notificaciones de su banco, ya sea mediante la app o mediante comunicaciones vía correo electrónico o comunicaciones internas bancarias.

Si por ejemplo usamos la app del banco, debemos activar notificaciones relacionadas con cargos o domiciliaciones y mandatos para que, en caso de que llegue una domiciliación devolverla de inmediato.

En caso de ver un recibo sospechoso o no reconocido, debe devolverlo inmediatamente. Si persiste o no sabe muy bien de qué se trata, debe contactar con el banco para recibir más información.

Nunca debe pulsar sobre los enlaces recibidos en correos o SMS, ni siquiera relacionados con Endesa. Si le llaman desde Endesa, cuelgue de inmediato y llame al número oficial.

Si tiene un área de cliente en Endesa desde el que controlar su gasto energético, es vital cambiar las credenciales de acceso; es decir, la contraseña para acceder al área de cliente. En la web de Endesa o Energía XXI se puede modificar