BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Multa a Endesa por el tráfico de claves de acceso con las que han extraído datos personales de clientes

Joshua Llorach
SalesFolder Endesa

La Agencia Española de Protección de Datos sanciona a Endesa con la mayor multa impuesta hasta la fecha a una eléctrica, tras comprobar que alguien ha estado vendiendo en Facebook claves de acceso de su plataforma SalesFolder, lo que permitía consultar datos personales de clientes y puntos de suministro para ser usados en campañas de captación fraudulenta.

Llamadas de comerciales que conocen todos los datos del cliente

El spam telefónico de comerciales que utilizan el engaño para conseguir clientes para las eléctricas se ha convertido en una plaga en los últimos años. Se hacen pasar por la compañía eléctrica y urgen a realizar un cambio necesario en el contrato. Puesto que llaman al abonado por su nombre y disponen de sus datos personales y del punto de suministro, consiguen la confianza de buena parte de las víctimas, completando el cambio fraudulento de comercializadora eléctrica y con ello, consiguiendo su correspondiente comisión por venta.

Las llamadas comerciales no deseadas con intenciones poco éticas siempre han existido, pero lo sorprendente de este sofisticado fraude es que el agente comercial dispone de todos los datos personales de la víctima. Es evidente que estos salen de alguna filtración, pero hasta la fecha no había constancia de cuál era el origen de los datos.

Recientemente supimos que una muestra de datos de clientes de Endesa estaban a la venta en un foro de pirateria, sin aclararse cuál era su origen. Esta parece ser solo la punta del iceberg de un grave acceso no autorizado y continuado en el tiempo que se producido en los sistemas informáticos de la segunda compañía eléctrica más importante del país.

Acceso abierto a los datos personales de 6 millones de clientes

Los datos personales de 4,8 millones de clientes de electricidad y 1,2 millones de gas de la compañía Endesa han estado disponibles para la consulta de terceros ajenos a la compañía. Los datos incluyen nombre y apellidos del titular, DNI, teléfono, correo electrónico, dirección postal, número de cuenta bancaria, CUPS que identifica el punto de suministro, consumo, facturación y deudas. También la posibilidad de obtener datos técnicos de 30,6 millones de puntos de suministro eléctrico y 8,6 de gas, en este caso de cualquier compañía eléctrica o gasista.

Así lo revela la AEPD en un expediente1 que por primera vez arroja luz sobre el origen de los datos utilizados en este tipo de campañas fraudulentas de captación de clientes para las distribuidoras eléctricas.

Venta de claves en Facebook para acceder a los sistemas de Endesa

Anuncio Facebook SalesFolder Endesa

Endesa descubrió en agosto de 2021 que alguien estaba publicando anuncios en Facebook ofreciendo usuarios y claves para acceder a una plataforma online de su propiedad, utilizada por su red comercial para consultar datos de clientes e información de puntos de suministro. La compañía comprobó que los credenciales a la venta funcionaban, pero que el caso no debía ser comunicado a las autoridades al no haber constancia de que se esté efectivamente explotando.

En enero de 2022 Endesa resuelve el contrato con un distribuidor comercial que había realizado más de 100 altas fraudulentas utilizando la información comprometida, a la vez que aparecían nuevos anuncios en Facebook ofreciendo bases de datos de clientes de eléctricas. Endesa pidió a Facebook España la retirada de los anuncios y notificó en ese momento el incidente a la AEPD, que le obligó a avisar a los usuarios afectados. Lo hizo mediante 760 cartas postales, donde explicaba a los clientes que había "detectado un posible acceso indebido a determinados sistemas comerciales" sin precisar qué datos se habían comprometido.

La Subdirección General de Inspección de Datos de la AEPD inició una investigación que sitúa la fuga en un distribuidor comercial situado en otro país que no se menciona, encargado de hacer captación comercial telefónica. El propio distribuidor identificó a un antiguo empleado como el dueño de la cuenta de Facebook que estaba publicando los anuncios. Endesa localizó e inhabilitó hasta 9 credenciales de acceso comprometidos que estaban siendo usados para acceder a su plataforma, a la vez que introdujo el doble factor de autenticación e inhabilitó la posibilidad de que un mismo usuario abriese dos sesiones a la vez.

Sin embargo, la AEPD critica que el último de los usuarios cancelados aún permaneciese activo en agosto de 2022, un año después de conocerse el problema, lo que evidencia "la escandalosa falta de diligencia de la empresa a la hora de gestionar los permisos otorgados a sus proveedores y subcontratistas". La agencia sanciona con un total de 6,1 millones de euros a la eléctrica.

Base de datos de eléctricas

Los anuncios en Facebook, algunos de los cuales todavía se pueden encontrar en la red social, ofrecen las credenciales de usuario para acceder al sistema SalesFolder2 de Endesa. El mismo usuario sigue ofreciendo en la actualidad bases de datos con hasta 200.000 registros de clientes de eléctricas, mostrando una captura de pantalla donde pueden verse teléfonos, CUPS, nombre, DNI y otros datos personales.

  1. aepd.es/documento/ps-00002-2023.pdf
  2. salesfolder.endesa.es/Security/logon.aspx

Actualizado