CIBERSEGOVIA 02x16: "La última estafa a una gran empresa en España"

La compañía eléctrica Endesa ha sufrido una grave brecha de seguridad que ha supuesto la sustracción de los datos de dos millones de cuentas de particulares y empresas. Según ha explicado Abel Gómez, CEO de la empresa de ciberseguridad CIBERSEGURA, la información robada no se limita a nombres y apellidos, sino que incluye datos tan sensibles como el DNI, el IBAN de la cuenta bancaria y detalles de los contratos de suministro.

Chantaje y filtración de datos

El ciberdelincuente responsable del ataque ha contactado con Endesa para exigir un pago a cambio de no publicar la totalidad de la información. Para demostrar la veracidad de la amenaza, ya ha filtrado los datos de 300.000 cuentas. La amenaza es clara: "O me pagas o publico los 2000000 de cuentas que tengo tuyas".

Los riesgos: suplantación y ‘phishing’ personalizado

Abel Gómez advierte que los atacantes pueden usar esta información para suplantar la identidad de los clientes y cometer estafas. El nivel de detalle de los datos robados, que incluye el número de CUP (el identificador del contrato), permite a los delincuentes realizar campañas de phishing extremadamente personalizadas y creíbles a través de SMS, WhatsApp o correo electrónico.

"Pueden hacerte un phishing tan personalizado que caes"

Abel Gómez 

CEO de CIBERSEGURA

Otro de los escenarios de riesgo es el fraude financiero, donde los ciberdelincuentes podrían intentar realizar cargos directos en la cuenta bancaria de las víctimas o utilizar sus datos para solicitar préstamos rápidos online. La propia Endesa, según Gómez, ha advertido a sus clientes sobre la posibilidad de que se produzcan campañas de spam o phishing con la información sustraída.

Claves para protegerse del fraude

El CEO de CIBERSEGURA ofrece varias claves para que los clientes se protejan. La primera es no pinchar en ningún enlace que llegue en comunicaciones sospechosas en nombre de Endesa y utilizar siempre las páginas web y aplicaciones oficiales de la compañía. Si se recibe una llamada, la recomendación es colgar y llamar directamente al teléfono oficial de atención al cliente para verificar la gestión.

También es fundamental no reenviar nunca códigos de verificación recibidos por SMS y revisar la cuenta bancaria en busca de cargos anómalos. La regla de oro, insiste Gómez, es mantener la calma y sospechar siempre de cualquier comunicación que transmita urgencia o pida datos de forma inmediata. Para las empresas, aconseja además verificar cualquier cambio en el IBAN para los pagos con un sistema de doble confirmación.