En un nuevo desarrollo que pone de manifiesto las vulnerabilidades en la seguridad de las empresas, se ha identificado a un individuo conocido como 'Spain', quien ha realizado un notorio ataque informático a Endesa. Este hacker asegura haber filtrado información perteneciente a 300,000 clientes de la compañía eléctrica, con la intención de presionarla antes de poner a la venta un paquete de datos que podría comprometer a más de 20 millones de personas.

Hace un par de semanas, Endesa anunció a sus usuarios que había caído víctima de un acceso "no autorizado e ilegítimo" en su plataforma, lo que resultó en la sustracción de datos personales sensibles vinculados a contratos de electricidad y gas. Esta situación ha causado gran preocupación entre los clientes de la empresa.

A inicios de enero, el hacker Spain se puso en contacto con el medio Escudo Digital para destapar el hackeo, que había sido anunciado en un foro de la 'darkweb'. En su declaración, afirmó haber obtenido más de un terabyte de información sobre la empresa, abarcando a más de 20 millones de individuos.

Spain asegura que ha intentado comunicarse en múltiples ocasiones con Endesa, esperando una respuesta de su parte. Para aumentar la presión, ha publicado una parte de los datos que afectan a 300,000 clientes como muestra. El hacker ha afirmado que está dispuesto a dar a la compañía un plazo adicional, fijando como límite el 2 o 3 de febrero para que tomen medidas antes de que la situación escale a un desastre irreparable.

Antes de que Endesa informara a sus clientes sobre el incidente, el hacker ya había compartido una muestra de información de mil clientes en el mismo foro donde promocionó la venta de la base de datos completa. Según investigaciones internas de la empresa, el hacker habría tenido acceso a información sensible, incluyendo datos de contacto, documentos de identidad y números de cuenta bancaria.

Por el momento, Endesa no ha identificado un uso indebido de los datos extraídos, pero advierte que existe el riesgo de que otros actores maliciosos puedan intentar usurpar la identidad de los clientes, difundir esta información en foros en línea o utilizarla para llevar a cabo fraudes en campañas de 'phishing' y spam, lo que podría acarrear serias repercusiones para los usuarios afectados.