La compañía Energía XXI Comercializadora de Referencia S.L. (Energía XXI) ha emitido un comunicado alertando a sus clientes de un ciberataque que ha expuesto los datos de sus clientes, en base a un ejercicio de "transparencia en la comunicación de cualquier aspecto relevante al respecto".
"Lamentamos comunicar que Energía XXI ha detectado un incidente de seguridad que ha permitido el acceso no autorizado e ilegítimo a su plataforma comercial. Este incidente ha comprometido la confidencialidad de ciertos datos de los que Energía XXI es responsable", arranca el escrito publicado en su página web.
"A pesar de las medidas de seguridad implementadas por esta compañía, hemos detectado evidencias de un acceso no autorizado e ilegítimo a ciertos datos personales de nuestros clientes relativos a sus contratos energéticos entre los cuales se encuentran los suyos", en clara alusión a los clientes afectados.
"La investigación en el momento actual refleja que el actor malicioso habría tenido acceso y podría haber exfiltrado de nuestros sistemas datos identificativos básicos, de contacto, DNI y datos relativos a su contrato con Energía XXI y eventualmente a sus medios de pago (IBANs), si bien en ningún caso se han visto comprometidos datos de acceso a contraseñas".
La emprea ha activado los protocolos y procedimientos de seguridad en cuanto ha tenido conocimiento del incidente, "así como todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro".
Entre esta medidas destacan: "El bloqueo inmediato de los usuarios de acceso comprometidos, el análisis de los registros y la notificación a todos los clientes cuyos datos han sido comprometidos".
Igualmente, se está realizando un seguimiento continuo especial de los sistemas para detectar cualquier actividad sospechosa. Y cumpliendo con la normativa aplicable, tras una valoración inicial del incidente, Energía XXI ha notificado el incidente a las autoridades competentes, incluyendo la Agencia Española de Protección de Datos. La investigación tanto a nivel interno como con los proveedores continúa en curso para "obtener una comprensión completa de lo sucedido y tomar cualquier otra medida que sea necesaria", advierte la compañía.
No obstante, no hay constancia de que se haya realizado uso fraudulento alguno de los datos afectados por el incidente, "resultando improbable que se materialice una afectación de alto riesgo para sus derechos y libertades".
"Aun así, este acceso no autorizado a sus datos por parte del actor malicioso podría acarrear el intento, por su parte, de usurpar o suplantar su identidad, publicar dichos datos con la correspondiente pérdida de control sobre los mismos o utilizarlos para emprender acciones de phishing o envío de spam contra usted. Es por ello que le recomendamos que preste especial atención a posibles comunicaciones sospechosas que pudiera recibir en los próximos días y que comunique cualquier anomalía o desconfianza que pudiera detectar al respecto a través de nuestro centro de atención telefónica llamando al siguiente número de teléfono: 800 760 250".
Los servicios de la compañía funcionan con total normalidad y pueden seguir seguir siendo utilizados.
La dirección ha pedido disculpas por cualquier inconveniente que este incidente pueda ocasionar y reitera el compromiso con la seguridad y con el cumplimiento de la normativa de protección de datos.
"En cualquier caso, si tuviera cualquier duda sobre esta cuestión, puede ponerse en contacto con el Delegado de Protección de Datos de Energía XXI en el siguiente correo electrónico: contactodpo.exxi@energiaxxi.com", puntualizan.