Las malas noticias
se acumulan para Endesa. La
Agencia Española de Protección de Datos (AEDP) ha impuesto una
sanción sin precedentes de 6,1 millones de euros a la eléctrica. Este castigo responde a una significativa
brecha de seguridad, que culminó con la comercialización ilegal de datos personales de sus clientes a través de anuncios en
Facebook.
La historia se remonta a
agosto de 2021, cuando se descubrieron anuncios en Facebook que promocionaban la venta de
credenciales de acceso a la plataforma de Endesa. Estos accesos revelaban datos básicos y relativos al punto de suministro de los clientes. La situación se agravó cuando, en enero de 2022, apareció otro anuncio similar, esta vez ofertando
bases de datos de clientes de energía y gas. Finalmente, el 8 de febrero, Endesa identificó coincidencias con su sistema CRM, confirmando la fuga de información.
Los ciberdelincuentes ofrecían en venta lotes de datos que contenían información detallada de entre
50.000 y 200.000 clientes, incluyendo datos sensibles como nombres, DNI, direcciones y números de teléfono. Endesa estima que esta
violación de datos afectó a alrededor de mil de sus clientes y atribuye el incidente al abuso de privilegios por parte de un empleado. La empresa argumenta que no se notificó a los clientes afectados inmediatamente, ya que evaluaron que no existía un "riesgo alto para sus derechos y libertades".
En respuesta a este incidente, Endesa implementó varias medidas de seguridad, como el
reseteo de contraseñas de los usuarios afectados y la desactivación de las sesiones simultáneas en su plataforma. Adicionalmente, solicitaron a Facebook la eliminación de los anuncios que comercializaban ilegalmente la información de sus usuarios. El 1 de abril de 2022, se envió una comunicación a los afectados advirtiéndoles sobre un "posible acceso indebido" a los sistemas de la compañía.
Endesa sostiene que notificó a la AEDP sobre la violación de datos dentro de las 24 horas posteriores a su descubrimiento y enfatiza que no obtuvo beneficios de este incidente, siendo más bien una "víctima clara" del mismo. No obstante, la AEDP ha criticado duramente a la empresa por su
"grave falta de diligencia". La Agencia señaló que Endesa tardó meses en reaccionar adecuadamente al incidente, lo que permitió que los datos personales de los clientes permanecieran accesibles y se crearan cuentas de usuarios de manera fraudulenta durante un tiempo prolongado. Además, la AEDP estima que los datos de hasta
6,5 millones de clientes pudieron haber estado disponibles para terceros no autorizados.
La resolución de la AEDP comprende
cinco multas individuales, que suman un total de 6,1 millones de euros, por diversas infracciones a los artículos 5, 32, 33, 34 y 44 del
Reglamento General de Protección de Datos. En respuesta a esta decisión, fuentes de Endesa han confirmado que
impugnarán la resolución de la AEDP. La empresa argumenta que durante el procedimiento administrativo se ignoraron sus alegaciones y pruebas, que demostrarían la falta de fundamento de algunas de las conductas imputadas y que la compañía actuó prontamente tras tener conocimiento del incidente. Además, consideran que la magnitud de la sanción es "desproporcionada" y sin precedentes comparables en España.