Desde la Administración Nacional de Electricidad (ANDE) emitieron un comunicado sobre la supuesta filtración de datos y señalaron que, tras el análisis técnico realizado en coordinación con el Cert-PY, no existe evidencia de vulneración de los sistemas institucionales críticos, incluyendo los sistemas comerciales y de facturación. 

“La información difundida corresponde principalmente a registros antiguos de formularios de contacto web, que permitían la carga libre de datos por parte de usuarios y no estaban integrados a los sistemas internos de la ANDE; éstos ya fueron reemplazados por innovaciones tecnológicas (APP, Chatbot)”, aseguraron, sin especificar hasta qué fecha. 

Entre tanto, aseguraron que la ANDE garantiza que los datos sensibles de sus clientes no han sido comprometidos. 

“La institución continúa con el monitoreo permanente y reafirma su compromiso con la seguridad de la información”, expresaron. 

Un cuenta de X, denominada Dark Web Intelligence, publicó que en la web oscura se estaba ofreciendo una base de datos de la ANDE, con 50.000 registros, incluyendo direcciones de correo electrónico, número de teléfonos, direcciones físicas, mensajes de clientes y solicitudes de servicio.

La cuenta advirtió de riesgos potenciales como phishing dirigido, utilizando el contexto de servicios públicos, como también fraude, aprovechando información de facturación o solicitudes de servicio y la exposición de datos de ciudadanos vinculados a infraestructura crítica.

En su análisis, mencionó que la estructura del conjunto de datos sugiere una exposición de un sistema de servicio al cliente/sistema de tickets, posible configuración errónea de aplicación web/base de datos, un compromiso del sistema backend (parte invisible de la web) y la presencia de mensajes enviados por usuarios, lo que aumenta el riesgo de ingeniería social rica en contexto.

FUENTE: UH