Imagen destacada de la entrada

¿Cómo se filtraron 20 millones de datos? Rosa Ortuño (CEO de OptimumTIC) analiza las vulnerabilidades del último ataque a Endesa

El pasado 12 de enero – Se anunció una brecha de seguridad significativa que afectó a Endesa y su comercializadora Energía 21. Ante la magnitud de este incidente, nuestra CEO, Rosa Ortuño Melero, experta en Ciberseguridad y referente profesional en el ámbito de seguridad y ciberseguridad, intervino en el programa La Mañana de Andalucía de Canal Sur Radio para poder dar información desde una perspectiva técnica, normativa y profesional de la importancia estratégica de proteger los datos personales en un mundo cada vez más digitalizado.

Con más de 25 años de trayectoria liderando proyectos de ciberseguridad y compliance, Rosa Ortuño aportó una visión experta junto al periodista Juan Carlos Vélez, subrayando que la protección de datos y el control y análisis de riesgos de todas las terceras partes, es hoy el pilar fundamental de la economía digital.

Anatomía del ataque: Cuando la higiene digital falla

Según detalló nuestra CEO, el origen del compromiso de información fue presuntamente una explotación de vulnerabilidades en los dominios y registros que se encontraban publicados y accesibles. Un detalle técnico crítico revelado en la entrevista fue la caducidad de certificados digitales, un fallo de mantenimiento preventivo que abre la puerta a ataques de inyección de código. Esto ha sido muy latente en periodos festivos, vacaciones, etc y no solo en compañías como Endesa sino en general muchas empresas se encuentran con presuntos “ataques”, cuando lo que han tenido o sufren es una falta de actualización y control de sus activos, certificados y/o tráfico de la red.

"La ciberseguridad no se improvisa. Si te caduca el certificado de tu web o de tu navegación, te vuelves vulnerable. Es un tema de revisión continua, actualización de código y de las medidas de seguridad. No es solo cuestión de gastar millones de euros, es un tema de higiene técnica", afirmó Rosa Ortuño.

Este descuido permitió, presuntamente, el acceso a una base de datos con más de 20 millones de registros, lo que supone un riesgo sistémico para casi la mitad de la población en España.

Endesa realizó un comunicado a todos sus clientes y en su web y que siguen investigando y mejorando sus medidas de seguridad.

Frente a los ciberataques o fallos de actualizaciones no mantenidas, es muy importante tener clara la cadena de suministro, y todos los recursos que forman parte de esta cadena.

No por ello en junio de 2024, Energía XXI, se enfrentó a otra filtración de datos que atrajo la atención del Instituto Nacional de Ciberseguridad (INCIBE). En respuesta, INCIBE emitió un comunicado para informar al público sobre las medidas necesarias para protegerse contra posibles fraudes derivados de esta situación. Este incidente destacó la importancia de mantener una vigilancia constante y mejorar las prácticas de seguridad en el sector.

Y con la incidencia de este principio de año, tanto Endesa como INCIBE volvieron a intervenir con comunicaciones enfocadas en proteger a los consumidores ante nuevos desafíos cibernéticos. Endesa se aseguró de notificar a sus clientes sobre las medidas implementadas para fortalecer la seguridad de sus datos personales, utilizando tanto correo electrónico como su sitio web oficial. Paralelamente, INCIBE publicó otra serie de recomendaciones prácticas y actualizadas para que los ciudadanos pudieran identificar y evitar estafas cibernéticas más efectivamente.

Estos eventos subrayan la necesidad continua de adaptación y colaboración entre empresas y entidades gubernamentales en el ámbito de la ciberseguridad y la importancia de tener un Buen Gobierno de Ciberseguridad, que no solo se base en tener plataformas y/o medidas técnicas, sino organizativas y legales cooperando entre todas las áreas de una empresa.

Compliance y Directiva NIS2: La asignatura pendiente

Por eso como especialistas en Compliance, en OptimumTIC enfatizamos que la ciberseguridad debe ser entendida como un proceso ético y legal de la cadena de suministro.

En este contexto, marcos regulatorios como NIS2 y el Esquema Nacional de Seguridad (ENS) ya no son meros requisitos de cumplimiento si no, son la columna vertebral mínima que toda organización crítica debe adoptar para garantizar ciberresiliencia real. La nueva NIS2 eleva exigencias en áreas como:

  • Supervisión continua y detección avanzada
  • Gestión de identidades y accesos privilegiados
  • Control del riesgo en la cadena de suministro
  • Respuesta coordinada ante incidentes
  • Gobernanza y accountability en el Consejo

Mientras que el ENS —especialmente en su categoría Alta— exige:

  • Fortalecimiento sistemático de la superficie de ataque
  • Monitorización ininterrumpida
  • Gestión rigurosa de certificados, configuraciones y vulnerabilidades
  • Evidencias de cumplimiento mediante auditorías periódicas

Desde OptimumTIC observamos este tipo de incidentes como catalizadores para mejorar la madurez del sector. Como señala nuestra CEO, Rosa Ortuño Melero:

“La ciberseguridad no es un proyecto; es un sistema vivo que exige inversión continua, automatización de procesos críticos y una supervisión avanzada en tiempo real.” El mensaje es claro para todas las organizaciones —no solo para las energéticas—: la resiliencia digital es un imperativo estratégico, y quienes no sean capaces de operar bajo los estándares de NIS2 y ENS quedarán expuestos a riesgos inasumibles.

El camino hacia una infraestructura y una gobernanza seguras pasa por:

  • Reducir superficie de ataque
  • Automatizar controles clave
  • Integrar ciberseguridad en la toma de decisiones
  • Evaluar proveedores bajo criterios NIS2/DORA/ENS
  • Fortalecer la capacidad de detección y respuesta

Porque en ciberseguridad, lo que no se monitoriza, no existe; y lo que no se automatiza, falla.

Si deseas más información sobre nuestros servicios o productos, puedes contactar con nosotros a través de nuestra página web: OptimumTIC o escríbenos a info@optimumtic.com.