Cas ENDESA: Què pot fer un pirata informàtic amb el nostre IBAN i carnet d’identitat?
Segons ha confirmat la companyia, l’accés no autoritzat ha compromès dades tan sensibles com el nom, cognoms, DNI, adreça postal, dades de contacte i el número de compte bancari (IBAN).
Foto de Oleksandr Chumak en Unsplash
El recent ciberatac patit per Endesa i la seva comercialitzadora de referència, Energia XXI, ha posat en alerta milers (milions) de consumidors. Segons ha confirmat la companyia, l’accés no autoritzat ha compromès dades tan sensibles com el nom, cognoms, DNI, adreça postal, dades de contacte i el número de compte bancari (IBAN).
Tot i que l'empresa assegura que les contrasenyes no han estat filtrades, disposar d'aquestes dades personals és suficient perquè els ciberdelinqüents puguin dur a terme diverses estafes. Aquests són els principals perills:
1. Suplantació d'identitat (Identity Theft)
Aquest és el risc més greu. Amb el nostre nom complet i el número de DNI, un pirata informàtic pot intentar fer-se passar per nosaltres per:
- Contractar nous serveis: Donar d'alta línies mòbils, serveis d'internet o contractes de subministraments. Si després no el paguen, deixarien el deute al nostre nom.
- Demanar crèdits ràpids: Existeixen entitats financeres en línia amb protocols de verificació poc estrictes que podrien concedir petits préstecs només amb aquestes dades.
2. Atacs de "Vishing" i "Phishing" personalitzat
Ara que els estafadors saben que som clients d’Endesa o Energia XXI i tenen el nostre telèfon i IBAN, els seus enganys són molt més creïbles:
- La trucada del banc: Poden trucar-nos fent-se passar pel vostre banc, recitant el nostre DNI i els últims dígits de l'IBAN per guanyar-se la nostra confiança. L’objectiu final serà demanar-nos un codi SMS o la contrasenya de l'app bancària amb l'excusa d'aturar una "transferència fraudulenta".
- L'estafa de la factura: Podrien enviar correus o SMS falsos demanant un pagament urgent d'una factura pendent d'Endesa, utilitzant les vostres dades reals perquè no sospitem.
3. El frau del mandat (Domiciliacions bancàries)
Amb l'IBAN i el DNI, un atacant pot intentar domiciliar rebuts al nostre compte. Tot i que no poden "buidar" el compte directament sense les claus de la banca online, sí que poden generar càrrecs per serveis que mai hem contractat.
4. Obertura de comptes "mula"
En casos més complexos, els delinqüents usen la identitat robada per obrir comptes en neobancs que s'utilitzen per blanquejar diners procedents d'altres estafes. Això pot comportar problemes legals seriosos si la policia investiga el rastre del diners i troba el vostre nom.
Què hem de fer si som afectats?
Si sou clients d’Endesa o Energia XXI i heu rebut la notificació de l'empresa (o sospiteu que les vostres dades han estat exposades), seguiu aquests consells:
- Vigilància extrema: Durant els propers mesos, extremeu la precaució amb qualsevol trucada, SMS o correu que us demani dades personals, encara que sembli que "ho saben tot" sobre vosaltres.
- Reviseu els moviments bancaris: Comproveu periòdicament la vostra aplicació bancària. Si veieu qualsevol rebut o càrrec que no reconeixeu, teniu dret a retornar-lo immediatament.
- Denúncia policial: Si detecteu que algú ha utilitzat el vostre DNI per a una contractació fraudulenta, denuncieu-ho als Mossos d'Esquadra o a la Policia Nacional. La denúncia és la vostra única protecció legal contra deutes futurs.
- Canvieu les claus: Tot i que Endesa diu que les contrasenyes són segures, com a mesura preventiva és recomanable canviar la paraula de pas de la vostra àrea de client i d'altres serveis on utilitzeu la mateixa combinació. A més a més, es recomana utilitzar contrasenyes d'almenys 16 caràcters.
- Vigilància: L'expert en legalitat digital lleidatà Ramon Arnó, a més, hi inclou la vigilància de les nostres dades, el que es coneix com a Egochecking: Buscar el nostre nom i DNI amb cometes a Google per saber si les nostres dades apareixen en alguna pàgina o filtració de dades. Arnó hi inclou una recomanació, que és la d'utilitzar l'eina Google Alerts per tal que cada matí rebem un missatge amb els llocs on apareix el nostre nom o DNI.
- Via alternativa: Una altra mesura de seguretat que recomana Arnó és no contactar mai amb el banc a través del telèfon que ens enviïn els ciberdelinqüents. Si mai rebem un correu que sigui del nostre banc, el que hem de fer és buscar el telèfon del banc, però mai des del mateix correu, perquè aquest serà fals. Mai s'ha d'utilitzar la mateixa via ni mecanisme que utilitza el delinqüent.
