El reciente hackeo a Endesa Energía que ha comprometido datos personales de clientes ha encendido las alarmas sobre la seguridad de la información cuando una empresa sufre una brecha de este tipo. Endesa Energía ha empezado a comunicar el incidente de seguridad a sus clientes afectados, señalando que el acceso no autorizado ha puesto en riesgo información muy sensible, como el documento de identidad y la cuenta bancaria.
Datos comprometidos y riesgo persistente
Cuando se produce un incidente como el sufrido por Endesa Energía, donde un actor malicioso logró acceder a datos de contratos de luz y gas, los usuarios suelen desconocer qué información concreta se ha visto comprometida y, especialmente, cómo puede ser utilizada posteriormente por ciberdelincuentes. La firma de seguridad ESET recuerda que “el riesgo no termina con la notificación de la brecha”, subrayando la persistencia del peligro incluso tras haber sido informado el cliente.
Los datos obtenidos en este tipo de brechas pueden seguir siendo empleados durante meses o incluso años para intentar fraudes, suplantaciones de identidad o ataques dirigidos que se aprovechan de la confianza previa de los usuarios en la empresa afectada. En el caso específico de Endesa Energía, se ha constatado que el acceso incluyó información como datos de contacto, documentos de identidad y el IBAN de la cuenta bancaria de los clientes.
Con esta información sensible, los ciberdelincuentes pueden intentar usurpar o suplantar la identidad de los afectados, publicar los datos en foros digitales donde la información se intercambia o se vende, o utilizarla para enviar correos o mensajes fraudulentos en el marco de campañas de phishing o spam. Este tipo de ataques suelen intentar engañar al usuario haciéndose pasar por entidades de confianza para obtener más datos o acceder a cuentas.
Actuar con calma y criterio, según los expertos
Frente a esta incertidumbre, el director de Investigación y Concienciación de ESET España, Josep Albors, subraya que es importante que las víctimas “mantener la calma y actuar con criterio”. Adoptar una actitud proactiva ayuda a reducir al máximo el posible impacto que puedan tener estos datos comprometidos.
Una de las principales recomendaciones es mantenerse alerta ante comunicaciones sospechosas. ESET indica que se debe desconfiar de mensajes que digan proceder de la empresa afectada y que incluyan enlaces, archivos adjuntos o solicitudes urgentes, ya que los ciberdelincuentes suelen emplear estas técnicas para intentar obtener más datos o acceso directo a cuentas.
En caso de duda sobre la autenticidad de un correo o mensaje, los expertos aconsejan contactar directamente con la compañía a través de sus canales oficiales, en lugar de responder o interactuar con el mensaje sospechoso. En el caso del incidente de Endesa Energía, la propia empresa ha instado a sus clientes a comunicar cualquier acción sospechosa llamando al número de teléfono 800 760 366.
Comprobaciones periódicas de seguridad
Además de desconfiar de comunicaciones sospechosas, también es recomendable que los usuarios comprobuen con frecuencia sus perfiles ‘online’ y las cuentas bancarias que estuvieran vinculadas a los contratos, para detectar movimientos, mensajes o acciones que no hayan realizado. Identificar actividades inusuales a tiempo puede ser clave para prevenir fraudes mayores.
Existen, además, servicios gratuitos que ayudan a comprobar si un correo electrónico u otros datos han aparecido en brechas de seguridad conocidas. Un ejemplo es Have I Been Pwned, que permite a los usuarios introducir su dirección de correo para verificar si se ha visto afectada por incidentes previos. Estos recursos pueden ser útiles para anticiparse a posibles ataques o recomendaciones de cambio de credenciales.
Contraseñas: actualizarlas y protegerlas mejor
Aunque Endesa Energía ha asegurado que las contraseñas de acceso de los usuarios no se han visto afectadas por este incidente, los expertos de ESET recomiendan cambiarlas igualmente, especialmente si llevan tiempo sin actualizarse. La razón es que una contraseña antigua o reutilizada en varios servicios puede ser más fácil de adivinar o ya estar incluida en bases de datos filtradas producto de otras brechas.
Para reforzar aún más la seguridad, se aconseja que las contraseñas sean robustas y únicas para cada servicio, y que se acompañen de un proceso de inicio de sesión multifactor (MFA). Esta medida adicional exige una segunda forma de verificación al iniciar sesión, por ejemplo, un código enviado al móvil, y puede impedir que los ciberdelincuentes accedan a una cuenta incluso si han logrado averiguar la contraseña.
La importancia de la vigilancia continua
El hackeo sufrido por Endesa Energía pone de manifiesto que las brechas de seguridad pueden tener consecuencias duraderas para clientes y empresas por igual. La exposición de datos personales y financieros no solo puede generar un impacto inmediato, sino que también puede ser aprovechada por actores maliciosos en el futuro si no se toman medidas preventivas.
Mantener una actitud vigilante, verificar periódicamente las cuentas y credenciales personales, y utilizar herramientas de seguridad adicionales como la autenticación multifactor, son acciones que pueden reducir significativamente los riesgos. Además, estar informado sobre la forma en que los datos pueden ser reutilizados, como advierte ESET, permite a los usuarios adoptar estrategias defensivas más eficaces.
Recomendaciones clave tras un incidente de seguridad
Entre los consejos más relevantes tras haber sido víctima de una brecha de datos como la de Endesa Energía, destacan:
-
Desconfiar de comunicaciones sospechosas que pidan interacción directa con enlaces o archivos adjuntos.
-
Contactar siempre a la empresa mediante canales oficiales en caso de duda.
-
Comprobar regularmente cuentas bancarias y perfiles online para detectar movimientos inusuales.
-
Utilizar herramientas como Have I Been Pwned para saber si un correo u otro dato personal ha estado involucrado en otras brechas.
-
Cambiar contraseñas antiguas y únicas y activar métodos de autenticación multifactor en todos los servicios posibles.
