Así lo advierte Endesa en su web, donde asegura que de momento no hay constancia de que se haya realizado uso fraudulento alguno de los datos afectados por el incidente, resultando improbable que se materialice una afectación de alto riesgo para sus clientes.

La investigación en el momento actual refleja que el actor malicioso habría tenido acceso y podría haber exfiltrado de los sistemas de Endesa datos identificativos básicos, de contacto, los DNI y datos relativos a los contratos con Endesa Energía y eventualmente los medios de pago, si bien, en ningún caso, se habrían visto comprometidos datos de acceso a contraseñas.

Aun así, advierte a sus clientes de que este acceso no autorizado a sus datos por parte del actor malicioso podría acarrear el intento, por su parte, de usurpar o suplantar su identidad, publicar dichos datos con la correspondiente pérdida de control sobre los mismos o utilizarlos para emprender acciones de phishing o envío de spam.

Es por ello por lo que les recomienda que presten especial atención a posibles comunicaciones sospechosas que pudieran recibir en los próximos días y que comuniquen a la compañía cualquier anomalía o desconfianza que se pudiera detectar en el teléfono 800.760.366.

Asimismo, pide que no proporcionen datos personales o información sensible a personas que no conozca de primera mano y que, en caso de cualquier sospecha de uso fraudulento de su información o datos, lo pongan en su conocimiento o en el de las Fuerzas y Cuerpos de Seguridad del Estado.

En cuanto Endesa ha tenido conocimiento del incidente, ha activado los protocolos y procedimientos de seguridad establecidos al efecto, así como todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro.

Dichas medidas incluyen, entre otras, el bloqueo inmediato de los usuarios de acceso comprometidos, el análisis de los registros logs y la notificación a todos los clientes cuyos datos han sido comprometidos.

Igualmente, está realizando un seguimiento continuo especial de los sistemas para detectar cualquier actividad sospechosa.

Por último, cumpliendo con la normativa aplicable, tras una valoración inicial del incidente, ha notificado el incidente a las autoridades competentes, incluyendo la Agencia Española de Protección de Datos.