BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Multa a Endesa por el tráfico de claves de acceso con las que han extraído datos personales de clientes

Joshua Llorach
SalesFolder Endesa

La Agencia Española de Protección de Datos sanciona a Endesa con la mayor multa impuesta hasta la fecha a una eléctrica, tras comprobar que alguien ha estado vendiendo en Facebook claves de acceso de su plataforma SalesFolder, lo que permitía consultar datos personales de clientes y puntos de suministro para ser usados en campañas de captación fraudulenta.

Llamadas de comerciales que conocen todos los datos del cliente

El spam telefónico de comerciales que utilizan el engaño para conseguir clientes para las eléctricas se ha convertido en una plaga en los últimos años. Se hacen pasar por la compañía eléctrica y urgen a realizar un cambio necesario en el contrato. Puesto que llaman al abonado por su nombre y disponen de sus datos personales y del punto de suministro, consiguen la confianza de buena parte de las víctimas, completando el cambio fraudulento de comercializadora eléctrica y con ello, consiguiendo su correspondiente comisión por venta.

Las llamadas comerciales no deseadas con intenciones poco éticas siempre han existido, pero lo sorprendente de este sofisticado fraude es que el agente comercial dispone de todos los datos personales de la víctima. Es evidente que estos salen de alguna filtración, pero hasta la fecha no había constancia de cuál era el origen de los datos.

Recientemente supimos que una muestra de datos de clientes de Endesa estaban a la venta en un foro de pirateria, sin aclararse cuál era su origen. Esta parece ser solo la punta del iceberg de un grave acceso no autorizado y continuado en el tiempo que se producido en los sistemas informáticos de la segunda compañía eléctrica más importante del país.

Acceso abierto a los datos personales de 6 millones de clientes

Los datos personales de 4,8 millones de clientes de electricidad y 1,2 millones de gas de la compañía Endesa han estado disponibles para la consulta de terceros ajenos a la compañía. Los datos incluyen nombre y apellidos del titular, DNI, teléfono, correo electrónico, dirección postal, número de cuenta bancaria, CUPS que identifica el punto de suministro, consumo, facturación y deudas. También la posibilidad de obtener datos técnicos de 30,6 millones de puntos de suministro eléctrico y 8,6 de gas, en este caso de cualquier compañía eléctrica o gasista.

Así lo revela la AEPD en un expediente1 que por primera vez arroja luz sobre el origen de los datos utilizados en este tipo de campañas fraudulentas de captación de clientes para las distribuidoras eléctricas.

Venta de claves en Facebook para acceder a los sistemas de Endesa

Anuncio Facebook SalesFolder Endesa

Endesa descubrió en agosto de 2021 que alguien estaba publicando anuncios en Facebook ofreciendo usuarios y claves para acceder a una plataforma online de su propiedad, utilizada por su red comercial para consultar datos de clientes e información de puntos de suministro. La compañía comprobó que los credenciales a la venta funcionaban, pero que el caso no debía ser comunicado a las autoridades al no haber constancia de que se esté efectivamente explotando.

En enero de 2022 Endesa resuelve el contrato con un distribuidor comercial que había realizado más de 100 altas fraudulentas utilizando la información comprometida, a la vez que aparecían nuevos anuncios en Facebook ofreciendo bases de datos de clientes de eléctricas. Endesa pidió a Facebook España la retirada de los anuncios y notificó en ese momento el incidente a la AEPD, que le obligó a avisar a los usuarios afectados. Lo hizo mediante 760 cartas postales, donde explicaba a los clientes que había "detectado un posible acceso indebido a determinados sistemas comerciales" sin precisar qué datos se habían comprometido.

La Subdirección General de Inspección de Datos de la AEPD inició una investigación que sitúa la fuga en un distribuidor comercial situado en otro país que no se menciona, encargado de hacer captación comercial telefónica. El propio distribuidor identificó a un antiguo empleado como el dueño de la cuenta de Facebook que estaba publicando los anuncios. Endesa localizó e inhabilitó hasta 9 credenciales de acceso comprometidos que estaban siendo usados para acceder a su plataforma, a la vez que introdujo el doble factor de autenticación e inhabilitó la posibilidad de que un mismo usuario abriese dos sesiones a la vez.

Sin embargo, la AEPD critica que el último de los usuarios cancelados aún permaneciese activo en agosto de 2022, un año después de conocerse el problema, lo que evidencia "la escandalosa falta de diligencia de la empresa a la hora de gestionar los permisos otorgados a sus proveedores y subcontratistas". La agencia sanciona con un total de 6,1 millones de euros a la eléctrica.

Base de datos de eléctricas

Los anuncios en Facebook, algunos de los cuales todavía se pueden encontrar en la red social, ofrecen las credenciales de usuario para acceder al sistema SalesFolder2 de Endesa. El mismo usuario sigue ofreciendo en la actualidad bases de datos con hasta 200.000 registros de clientes de eléctricas, mostrando una captura de pantalla donde pueden verse teléfonos, CUPS, nombre, DNI y otros datos personales.

  1. aepd.es/documento/ps-00002-2023.pdf
  2. salesfolder.endesa.es/Security/logon.aspx

💬 Comentarios

1
Jav9i
16

Y poco me parece esa multa. Las multas correctas para estos casos son aquellas en las que tu negocio se ve en peligro económicamente. Teniendo en cuenta la cantidad de datos expuestos y lo que factura Endesa, un par de ceros más al final sería más adecuado.

🗨️ 3
Charlystar

Si mal no recuerdo, el RGPD marca un 4% como máximo de multa. Endesa facturó en 2022 la astronómica cifra de 33.000 millones de euros. Haciendo la cuenta de la vieja, la multa correcta debía haber sido 1.320 millones de euros.

O lo que es lo mismo, el 55% de sus beneficios netos de 2022. Así si se ponían las pilas en este aspecto. Pero nada, recurrirán la multa, la ganarán, y aquí no ha pasado nada.

🗨️ 2
Meruni
2

Tu lo has dicho, un 4% como máximo. Puede ser un 0,000000001% y no habría problema con la ley.

Porque claro, como va a tener la culpa Endesa de los malvados juankers que siempre están intentando ir a por los mas débiles. Esa empresa donde tienen puestos de responsabilidad los familiares de…, compañeros de… y miembros del club al que vamos todos, y donde trabajan duramente todos ellos para sacarla adelante. No como esos de abajo que están todo el día que si derechos, que si sindicatos, que si sueldos… y no veas los de las subcontratas, menos mal que los ponen firmes de vez en cuando.

Eso si, tu como ciudadano a la que hagas algo incorrecto, da gracias que la multa no sea del 100% y que te hagan descuento si pagas rápido.

TaleQ

En el recurso y el tiempo de resolución es donde está el truco de todo esto.

No tengo todos los datos y hablo de oidas pero las multas que imponen van contra el presupuesto del organismo en caso de perder el recurso. En caso de ganarlo las cobra Hacienda.

Imagina que le plantas una multa de 1300 kilos a alguien mientras la agencia tiene un presupuesto anual de 20 kilos y pierdes por culpa de un tecnicismo. La agencia no tiene para devolverles la pasta.

Por esa razón estás multitas son calderilla. Para que paguen y no reclamen y estén dentro de unos margenes seguros en caso de que alguno se ponga gallito.

JGeek00
2

La hostia. Absolutamente increíble.

Aokromes
5

yo jamas entendere por que a un comercial le dan libre acceso a los datos de todos los clientes en vez de solo al que tienen que atender

🗨️ 3
rbetancor
2

Porque el objetivo, es que el comercial de el callcenter haga prospección en busca de aumentar los contratos de los clientes y llevarse su comisión.

Yo soy de los que piensa, que las empresas que subcontratan estos servicios de callcenter comercial, deberían de dar la plataforma COMPLETA de callcenter a la empresa que hace las llamadas, que solo tendrá control para "pido siguiente llamada" y que se le muestern los datos mínimos, nómbre del titular y punto …

🗨️ 1
electronics

Si por lo menos el call center fuese propio tendría un pase, pero es que encima son subcontratas de la subcontrata y muchas veces en tierras de la Pachamama, donde no se aplica la legislación española en temas de protección de datos.

Demasiadas cesiones de datos fuera de la empresa principal como para que eso sea seguro, no ya desde ataques externos, sino de "fugas de datos" internas.

Alexvr

En bbdd hay algo muy util que se llaman vistas.

¿Porque narices un callcenter tiene que tener todos los datos?

Mikker
4

¿Solo euros? Creo que alguien debería ir a la cárcel… o no… porque en este país, cuanto más delincuente eres, más amnistía te hacen.

EmuAGR
1

Había que moler a palos al tal Jorge.

Ahora me están empezando a llamar comerciales del 655, aparte de los 621, y estos no me los está filtrando el móvil. La última vez que descolgué al 655, llegaron a mencionar mi calle.

Policia
3

Una multa de 1€ por cliente. Todavía les sale a cuentas contratar otro cutre center que ofrezca Sudamérica y volver a la misma.

¿De verdad no pueden permitirse contratar comerciales en España?

Screenshot_2023-12-04-18-24-18-0214872505_EDIT_1
Cosmonauta
2

Poco me parece para el daño hecho. Cuando pongan multas de verdad, las empresas se pondrán las pilas e irán con mucho mas cuidado.

Bocchi94
3

Me parece insignificante, en lugar de 6,1 millones debería ser el 20% de los ingresos anuales.

A pesar de ya no ser cliente de Endesa la filtración ocurrió cuando aún lo era. Hay días que he recibido hasta 4 llamadas seguidas (Hiya las bloquea siempre) de números que se hacen pasar por Endesa, Naturgy, Iberdrola, etc para vender esta basura. Todo esto estando en la lista Robinson claro.

antonianzas
1

Precisamente hoy me llamó Endesa. Una conversación un tanto rara porque, de primeras, da la impresión de que te están llamando como si son de tu propia compañía, dándote los datos de la calle y mi persona. Luego me dicen que es un "cambio de contrato" y no un cambio de operador/compañía. Luego ya les digo lo típico para quitártelos de encima directamente, sin que tampoco suponga un problema de cara al operador, por si le están auditando, algo como que no soy el propietario del contrato con mi compañía, y pista. Pero de primeras es un poco sospechoso el tema, van como a ver si te la cuelan, o esa impresión da.

lhacc

El tal Jorge es peruano. ¿Por qué se otorga acceso a datos tan delicados a call centers situados en países del tercer mundo?

🗨️ 1
Ossian
2

por mi que prohiban la profesión de comercial, a punto de entrar en 2024 no tiene razón de ser, más que la de las estafas

ChrJr90

Parece que últimamente esta de moda estos trapicheos… Hace poco tambien hackearon a la empresa de vuelos con la que me fui de viaje y mis datos bancarios habian sido comprometidos, por suerte la información llego a BBVA y bloquearon las tarjetas para evitar males mayores, de lo contrarion podrían haberme volado una buena suma, eso sí la putada de quedarte sin tarjeta unos días no me la quito nadie.

Algunos casos seran hackers pero otros sin duda son fugas desde dentro de la empresa, no juzgo a nadie porque en tiempos de crisis todos haríamos lo necesario por tener dinero. Lo que sí es cierto es que ponerle 6 MDE de multa a una empesa que genera miles de millones… ES DE BROMA. A alguien de la calle le pone la policia una multa y y por la parte mas corta te quitan un buen pellizco de tu salario mensual…

En definitiva, la ley en este país esta hecha para el currante, para el españolito que ya no sabe donde buscar eureles para llegar a fin de mes. Mientras a los grandes chorizos, indultos, condenas de risa por haber robado cientos de millones… En fin, otro día mas en la jodida Españizuela.

🗨️ 1
Meruni

La gran mayoría son fugas dentro de la empresa.

Datos jugosos + sueldos cuencoarrocistas + los datos accesibles fácilmente = Alguien acaba sacándose un sobresueldo tarde o temprano.

CMOr
1

Ahora solo falta ver si la pagan, o si sorprendentemente prescribe entre recurso y recurso, como tantas otras veces.

esj

Menudo desmadre tienen todas estas compañías que emplean a terceros anda que no se habrán filtrados csv y andarán en equipos personales y todo

Agron2k08

En la noticia del Leak me decían que era casualidad que me hubieran llamado, viendo este tremendo despiporre, ¡lo raro sería que no lo hubieran hecho antes! Recordad, perro no come perro 😏de ahí esa multa de m****

Toyandboy

Nada que no se arregle en diez minutos de partido en el palco del Bernabeu.

1