Las Claves
- Endesa sufrió una intrusión informática que expuso datos personales como DNI, IBAN y detalles de contratos de sus clientes.
- Los ciberdelincuentes podrían realizar
Endesa ha sido víctima de una intrusión informática mediante la cual se ha obtenido información de los usuarios almacenada en su sistema de ventas. Tras la sustracción de detalles elementales, DNI o códigos de cuentas bancarias, resulta fundamental incrementar la vigilancia con el fin de no ser víctima de fraudes basados en estos registros, supervisar los extractos bancarios en busca de operaciones inusuales y notificar a los cuerpos de seguridad si se detecta algo sospechoso.
La entidad ha sugerido en una comunicación remitida a los damnificados que refuercen su vigilancia sobre los contactos que se produzcan en fechas cercanas ante la probabilidad de que se lancen ataques de phishing —suplantar el nombre de la corporación— o de remisión de spam.
¿Qué datos se han filtrado?
La empresa comunica que los ciberdelincuentes habrían obtenido de sus infraestructuras determinada información privada de los usuarios incluida en los acuerdos de suministro de energía. Específicamente, se menciona “datos identificativos básicos, de contacto, DNIs y datos relativos a su contrato con Endesa Energía y eventualmente sus medios de pago (IBAN)”. No se han detectado compromisos en las claves de acceso de los clientes.
¿Qué amenaza plantean estos registros?
La mayor amenaza identificada es que el agresor robe o asuma la identidad del usuario, que difunda los registros en la red -lo cual provocaría la pérdida de autoridad sobre estos- o emplearlos en acciones de phishing o remisión de correo basura. A través de la agrupación de usuarios Facua sugieren “prestar atención a cualquier comunicación sospechosa o solicitudes de acciones inusuales tanto por correo electrónico como por teléfono, pues los ciberdelincuentes podrían utilizar estos datos para intentar perpetrar fraudes o estafas”.
“Los ciberdelincuentes suelen aprovechar este tipo de episodios para lanzar campañas de fraude dirigidas y suplantaciones de identidad”, recalcan desde la empresa de seguridad digital ESET. “La información expuesta puede ser reutilizada durante meses o incluso años para lanzar fraudes, suplantaciones de identidad o ataques dirigidos que aprovechan la confianza de los clientes en la empresa afectada”. Por consiguiente, será preciso mantenerse alerta no solo durante las jornadas inmediatas, sino también en un horizonte temporal más amplio.
¿Qué trámites se pueden llevar a cabo disponiendo del DNI y del código IBAN de una cuenta?
“Este tipo de ciberataques tienen diferentes objetivos. Robar datos para revenderlos es uno muy habitual en pleno auge del mercado negro. Pero también se busca robar para conseguir un rescate a cambio, o simplemente paralizar un sistema y generar caos y desconfianza”, manifiesta Sancho Lerena, director ejecutivo de Pandora FMS.
Entre los registros sustraídos se encuentran los IBAN, aquellas claves de las cuentas bancarias que figuraban en los convenios de los usuarios. Si se generasen cobros en el saldo, es posible revertirlos al no contar con la autorización del propietario. A fin de hallar incidencias, conviene supervisar habitualmente los extractos del banco y los accesos en red para advertir operaciones ilícitas o gestiones no efectuadas.
Lee tambiénTrampas a evitar estas rebajas: del falso descuento a la garantía que se esfuma
Debido a que se ha obtenido información del DNI, existe el riesgo de sufrir un fraude habitual recientemente: la solicitud de créditos suplantando nuestra identidad. Con el fin de resguardarse ante tal situación, es aconsejable conservar los mensajes que Endesa remitió por email, ya que sirven como prueba de que la información personal fue sustraída previamente y empleada para formalizar dicho crédito ilícito. De igual modo, resulta posible reportar el incidente ante la Policía, obteniendo así un acta formal que certifique la vulneración de la privacidad. En el supuesto de que se logre evidenciar que el daño proviene de este acceso no autorizado, la empresa podría tener que responder por los daños derivados.
¿Qué estafas pueden darse?
“Es importante mantener la calma y actuar con criterio. Los delincuentes suelen explotar estos incidentes haciéndose pasar por la empresa afectada, utilizando datos reales para ganar credibilidad y tratar de engañar a las víctimas”, explica Josep Albors, director de Investigación y Concienciación de ESET España.
Un método frecuente para tratar de rentabilizar los datos sustraídos consiste en comunicarse con los usuarios a través de e-mails, mensajes de texto o llamadas engañosas, simulando ser avisos oficiales con el fin de requerir información extra, cobros o presionar para bajar ficheros o entrar en links dañinos. A modo de ilustración, podrían solicitar la descarga de un recibo de luz ficticio. “Pero en realidad el archivo contiene un código malicioso”, advierten desde el Instituto Nacional de Ciberseguridad (Incibe), respecto a un fraude de identidad de Endesa identificado el anterior octubre.
Estos fraudes aprovechan el clima de preocupación provocado por la sustracción de información. “Hay que desconfiar de mensajes que digan proceder de la empresa afectada y que incluyan enlaces, archivos adjuntos o solicitudes urgentes”, señalan desde ESET.
Lee tambiénLa fórmula para saber si un piso está hinchado de precio
¿Qué pasos tendría que seguir el usuario después del incidente de seguridad ocurrido en Endesa?
Resulta esencial evitar pulsar en correos electrónicos, SMS, links o comunicaciones de WhatsApp que parezcan dudosas. Igualmente, se debe recelar de aquellos contactos telefónicos donde pretendan suplantar a la empresa o a otras entidades asociadas.
Aparte de vigilar probables fraudes, es factible adoptar diversas precauciones de protección con el fin de reducir el riesgo de que la brecha informática perjudique al usuario. Dentro de las sugerencias fundamentales, en ESET sugieren renovar las claves de acceso con prontitud, incluso si no resultaron expuestas en este incidente. Especialmente si no se habían actualizado en un periodo prolongado. La indicación es “utilizar combinaciones robustas y únicas”. De ser factible, habilitar mecanismos de verificación en dos pasos -como el teléfono celular si se accede mediante la computadora-. Una vez más, se recalca la importancia de permanecer alerta ante mensajes dudosos y las transacciones de la entidad financiera.
En la red se encuentran sitios que nos informan si nuestra información personal ha sido vulnerada, como Have I Been Pwned, donde es posible ingresar una dirección de correo para descubrir en qué brechas de seguridad o ataques ha figurado.
¿Cómo se debe proceder al identificar posibles fraudes o irregularidades?
Si el cliente percibe alguna irregularidad o duda de las comunicaciones obtenidas, se sugiere que llame al servicio de soporte telefónico, marcando el 800 760 366.