RSC

Ciberataques, clientes en jaque

Por Juan Royo Abenia015
El ciberataque que pone en jaque los datos de los clientes y suplantaciones de identidad fáciles de llevar a cabo

El ciberataque que pone en jaque los datos de los clientes y suplantaciones de identidad fáciles de llevar a cabo

Los ciberataques a grandes compañías como Iberia, Telefónica o Endesa comprometen datos personales y bancarios de millones de clientes, evidenciando la creciente vulnerabilidad de las infraestructuras digitales.

A pesar de que la compañía explicó que las contraseñas no se vieron afectadas, solo con DNI y nombre ya pueden estafar a otras personas suplantando una identidad.

Nombre completo, DNI, dirección de suministro, IBAN son datos sensibles más que suficientes para facilitar estafas a gran escala.

No se necesitan contraseñas para delinquir si los ciberdelincuentes utilizan la imagen de una gran compañía como puente para engañar a terceros

Carlos Eduardo Suárez, i3e

Disponer de datos reales del cliente permite construir comunicaciones verosímiles a través de correo electrónico, SMS o llamadas telefónicas, lo que incrementa la probabilidad de que las víctimas proporcionen información aún más sensible.

La IA como elemento agravante

El impacto del ataque no se limita a la filtración inicial. “Este incidente no se agota en el momento del robo: los datos pueden combinarse con otras brechas para crear perfiles extremadamente detallados de las personas afectadas”

A ello se suma el papel de la IA que, además de emplearse en la defensa y monitorización de accesos anómalos, también se ha convertido en una herramienta para los atacantes.

Con las capacidades actuales de generación de imagen y voz, se puede crear un perfil completo de una persona y usarlo para sustraer dinero o información, incluso fuera de su círculo cercano.

También afecta también a la confianza social y a la percepción de seguridad digital en general.

Vulnerables infraestructuras digitales

Grandes cantidades de datos personales se concentran en manos de pocas entidades.

  • reforzar de manera urgente los estándares de protección
  • priorizar inversiones en ciberseguridad capaces de anticipar y mitigar accesos ilícitos
Recomendaciones
  • desconfiar de cualquier comunicación que solicite claves, códigos de un solo uso o firmas digitales, por muy legítimo que pueda parecer su remitente.
  • verificar cualquier información exclusivamente a través de los canales oficiales
  • evitar acceder mediante enlaces incluidos en mensajes no solicitados
  • revisar con regularidad los movimientos bancarios y recibos domiciliados para detectar posibles cargos no reconocidos
  • activar, siempre que sea posible, sistemas de alerta que notifiquen operaciones inusuales
  • conocer y ejercer los derechos de protección de datos ante cualquier indicio de uso indebido de la información personal, recurriendo a la Agencia Española de Protección de Datos cuando sea necesario.

Endesa ejemplo de compromiso prioritario con:

  • protección de la privacidad y la seguridad de los datos personales que tratan
  • transparencia en la comunicación de cualquier aspecto relevante al respecto

Endesa sufrió un incidente de seguridad que permitió el acceso no autorizado e ilegítimo a su plataforma comercial. Este incidente comprometió la confidencialidad de ciertos datos de los que Endesa es responsable.

A pesar de las medidas de seguridad implementadas detectó evidencias de un acceso no autorizado e ilegítimo a ciertos datos personales de sus clientes relativos a sus contratos energéticos.

La investigación refleja que el actor malicioso habría tenido acceso y podría haber exfiltrado de nuestros sistemas datos identificativos básicos, de contacto, DNI y datos relativos a su contrato con Endesa Energía y eventualmente sus medios de pago (IBAN), si bien, en ningún caso, se han visto comprometidos datos de acceso a contraseñas.

En cuanto Endesa Energía tuvo conocimiento del incidente, se activaron

  • los protocolos y procedimientos de seguridad establecidos al efecto
  • todas las medidas técnicas y organizativas necesarias

para contener, mitigar sus efectos y prevenir que se repita en el futuro, permitiendo así contener de manera inmediata y satisfactoria el incidente detectado e impidiendo el acceso no autorizado.

Acciones
  1. bloqueo inmediato de los usuarios de acceso comprometidos
  2. análisis de los registros logs
  3. notificación a todos los clientes cuyos datos han sido comprometidos
  4. seguimiento continuo especial de los sistemas para detectar cualquier actividad sospechosa.

Asimismo, cumpliendo con la normativa aplicable, tras una valoración inicial del incidente, Endesa notificó el incidente a las autoridades competentes, incluyendo la Agencia Española de Protección de Datos.

La investigación tanto a nivel interno como con nuestros proveedores continúa en curso para obtener una comprensión completa de lo sucedido y tomar cualquier otra medida que sea necesaria.

No hay constancia de que se haya realizado uso fraudulento alguno de los datos afectados por el incidente. Resulta improbable que se materialice una afectación de alto riesgo para los derechos y libertades de los clientes de Endesa.

Riesgos:

  1. intento usurpar o suplantar identidades
  2. publicar dichos datos con la correspondiente pérdida de control sobre los mismos
  3. acciones de phishing o spam
Endesa recomienda
  • prestar especial atención a posibles comunicaciones sospechosas que pudiera recibir en los próximos días
  • comunicar cualquier anomalía o desconfianza que pudiera detectar al respecto a través de su centro de atención telefónica llamando al número de teléfono: 800.760.366.
  • no proporcionar datos personales o información sensible a personas que no conozca de primera mano
  • en caso de cualquier sospecha de uso fraudulento de su información o datos, lo ponga en conocimiento de Endesa o de la policía

Tanto la operativa como los servicios de Endesa funcionan con total normalidad y los clientes pueden seguir utilizándolos.

Endesa reitera sus disculpas ante cualquier inconveniente que este incidente pueda ocasionar y reitera su compromiso con la seguridad y con el cumplimiento de la normativa de protección de datos.

Foto de Vika Glitter

Related posts

I Jornada de integración de los ODS en la estrategia empresarial,

Marta Gasca Gómez

Redesigning the Good Life: Brands Serving Humanity

Juan Royo

La comisión de sostenibilidad, piedra de toque de la RSC

Miguel Royo Gasca