El riesgo más inminente no es un robo directo, sino el fraude por suplantación
Cómo actuar si tus datos han sido expuestos en el ciberataque a Endesa
La directriz fundamental es no facilitar nunca claves, códigos SMS ni validar operaciones bancarias a través de una llamada telefónica entrante
Si has recibido la notificación confirmando que tus datos personales se han visto comprometidos en el ciberataque a Endesa, o simplemente sospechas que puedes ser uno de los afectados, la primera regla es mantener la calma pero elevar al máximo el nivel de desconfianza.
Lo que los ciberdelincuentes han obtenido en este tipo de filtraciones suele ser un «kit de identidad» básico —nombre completo, DNI, domicilio, correo electrónico y, en los casos más graves, el número de cuenta bancaria (IBAN)—. Aunque a priori no pueden vaciar tu cuenta solo con estos datos, sí tienen la munición perfecta para lanzar ataques de ingeniería social de una credibilidad aterradora.
El riesgo más inminente no es un robo directo, sino el fraude por suplantación. Con tu información en la mano, los estafadores pueden llamarte o escribirte haciéndose pasar por tu banco o por la propia compañía eléctrica con una verosimilitud pasmosa, ya que conocerán tu nombre, tu dirección y tus últimos recibos.
Por tanto, la directriz fundamental es no facilitar nunca claves, códigos SMS ni validar operaciones bancarias a través de una llamada telefónica entrante, por muy urgente que parezca el interlocutor. Si alguien te llama alertando de un movimiento extraño o una oferta de tarifa, cuelga inmediatamente y llama tú al número oficial de la entidad para verificarlo. Ninguna empresa legítima te pedirá jamás tus contraseñas por teléfono.
Revisar los movimientos de la cuenta bancaria
En el plano financiero, la vigilancia debe ser diaria durante las próximas semanas. Es vital revisar los movimientos de la cuenta bancaria asociada a los recibos de la luz para detectar cualquier domiciliación extraña, por pequeña que sea, ya que a veces los delincuentes realizan cobros de prueba de importes bajos (céntimos o pocos euros) para ver si la cuenta está activa antes de intentar un golpe mayor.
Si detectas algo sospechoso, tienes derecho a devolver el recibo inmediatamente y notificarlo a tu gestor. Respecto a las contraseñas, aunque Endesa haya asegurado que las claves de acceso al área de cliente no se han visto expuestas en ciertos ataques, la prudencia dicta cambiarlas de inmediato.
Si utilizabas esa misma contraseña para tu correo o tu banco, es imperativo modificarla en todos esos servicios para evitar un efecto dominó, activando siempre que sea posible la autenticación en dos pasos (2FA).
Derechos legales
Finalmente, recuerda que tienes derechos legales. La empresa está obligada a informarte con transparencia sobre qué datos concretos se han filtrado.
Si detectas que tu información está siendo usada para dar de alta servicios en tu nombre (como líneas telefónicas o créditos rápidos), debes denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado y comunicarlo a la Agencia Española de Protección de Datos (AEPD) para frenar cualquier reclamación de deuda futura que no te corresponda.