Considerado uno de los más graves en España, ha comprometido datos personales y bancarios de millones de clientes.
El año ha comenzado con un golpe severo de la ciberseguridad en España. Endesa ha sufrido uno de los mayores ciberataques registrados en el país, un incidente que ha puesto en riesgo datos personales y bancarios de millones de clientes, incluidos el nombre completo, el DNI, la dirección de suministro y el IBAN. Aunque la compañía ha asegurado que las contraseñas no se han visto comprometidas, los especialistas en ciberseguridad advierten que la información filtrada es más que suficiente para facilitar estafas a gran escala.
“No se necesitan contraseñas para delinquir si los ciberdelincuentes utilizan la imagen de Endesa como puente para engañar a terceros”, explica Carlos Eduardo Suárez, miembro del equipo de ciberseguridad de la tecnológica catalana i3e. Según detalla el experto, disponer de datos reales del cliente permite construir comunicaciones muy verosímiles a través de correo electrónico, SMS o llamadas telefónicas, lo que incrementa la probabilidad de que las víctimas proporcionen información aún más sensible.
La IA como elemento agravante
Desde i3e subrayan que el impacto del ataque no se limita a la filtración inicial. “Este incidente no se agota en el momento del robo: los datos pueden combinarse con otras brechas para crear perfiles extremadamente detallados de las personas afectadas”, apunta Suárez. A ello se suma el papel de la inteligencia artificial que, además de emplearse en la defensa y monitorización de accesos anómalos, también se ha convertido en una herramienta para los atacantes.
“Con las capacidades actuales de generación de imagen y voz, se puede crear un perfil completo de una persona y usarlo para sustraer dinero o información, incluso fuera de su círculo cercano”, explican desde la compañía. Y advierten de que el riesgo no se limita al perjuicio económico, sino que afecta también a la confianza social y a la percepción de seguridad digital en general.
El ciberataque a Endesa se suma a otros incidentes recientes, como los hackeos a Iberia o Telefónica, que evidencian la creciente vulnerabilidad de las infraestructuras digitales en un contexto donde grandes cantidades de datos personales se concentran en manos de pocas entidades. Para i3e, esta tendencia exige reforzar de manera urgente los estándares de protección y priorizar inversiones en ciberseguridad capaces de anticipar y mitigar accesos ilícitos.
Recomendaciones para los usuarios afectados
Ante la magnitud del incidente, i3e insta a los ciudadanos a extremar la prudencia durante las próximas semanas. Suárez recomienda desconfiar de cualquier comunicación que solicite claves, códigos de un solo uso o firmas digitales, por muy legítimo que pueda parecer su remitente. También aconseja verificar cualquier información exclusivamente a través de los canales oficiales de Endesa, evitando acceder mediante enlaces incluidos en mensajes no solicitados.
La compañía propone además revisar con regularidad los movimientos bancarios y recibos domiciliados para detectar posibles cargos no reconocidos y activar, siempre que sea posible, sistemas de alerta que notifiquen operaciones inusuales. Finalmente, recuerda la importancia de conocer y ejercer los derechos de protección de datos ante cualquier indicio de uso indebido de la información personal, recurriendo a la Agencia Española de Protección de Datos cuando sea necesario.
