Caso ENDESA: ¿Qué puede hacer un pirata informático con nuestro IBAN y carnet de identidad?
Según ha confirmado la compañía, el acceso no autorizado ha comprometido datos tan sensibles como el nombre, apellidos, DNI, dirección postal, datos de contacto y el número de cuenta bancario (IBAN).
Foto de Oleksandr Chumak en Unsplash
El reciente ciberataque sufrido por Endesa y la suya comercializadora de referencia, Energía XXI, ha puesto en alerta miles (millones) de consumidores. Según ha confirmado la compañía, el acceso no autorizado ha comprometido datos tan sensibles como el nombre, apellidos, DNI, dirección postal, datos de contacto y el número de cuenta bancario (IBAN).
Aunque la empresa asegura que las contraseñas no han sido filtradas, disponer de estos datos personales es suficiente para que los ciberdelincuentes puedan llevar a cabo varias estafas. Estos son los principales peligros:
1. Suplantación de identidad (Identity Theft)
Este es el riesgo más grave. Con nuestro nombre completo y el número de DNI, un pirata informático puede intentar hacerse pasar por nosotros para:
- Contratar nuevos servicios: Dar de alta líneas móviles, servicios de internet o contratos de suministros. Si después no lo pagan, dejarían la deuda a nuestro nombre.
- Pedir créditos rápidos: Existen entidades financieras en línea con protocolos de verificación poco estrictos que podrían conceder pequeños préstamos sólo con estos datos.
2. Ataques de "Vishing" y "Phishing" personalizado
Ahora que los estafadores saben que somos clientes de Endesa o Energia XXI y tienen nuestro teléfono e IBAN, sus engaños son mucho más creíbles:
- La llamada del banco: Pueden llamarnos haciéndose pasar por vuestro banco, recitando nuestro DNI y los últimos dígitos del IBAN para ganarse nuestra confianza. El objetivo final será pedirnos un código SMS o la contraseña de la app bancaria con la excusa de detener una "transferencia fraudulenta".
- La estafa de la factura: Podrían enviar correos o SMS falsos pidiendo un pago urgente de una factura pendiente de Endesa, utilizando vuestros datos reales porque no sospechemos.
3. El fraude del mandato (Domiciliaciones bancarias)
Con el IBAN y el DNI, un atacante puede intentar domiciliar recibos en nuestra cuenta. Aunque no pueden "vaciar" la cuenta directamente sin las llaves de la banca online, sí que pueden generar cargos por servicios que nunca hemos contratado.
4. Apertura de cuentas "mula"
En casos más complejos, los delincuentes usan la identidad robada para abrir cuentas en neobancos que se utilizan para blanquear dinero procedente de otras estafas. Eso puede comportar problemas legales serios si la policía investiga el rastro del dinero y encuentra nuestro nombre.
¿Qué tenemos que hacer si somos afectados?
Si sois clientes de Endesa o Energia XXI y habéis recibido la notificación de la empresa (o sospecháis que vuestros datos han estado expuestos), seguid estos consejos:
- Vigilancia extrema: Durante los próximos meses, extremad la precaución con cualquier llamada, SMS o correo que os pida datos personales, aunque parezca que "lo saben todo" sobre vosotros.
- Revisad los movimientos bancarios: Comprobad periódicamente vuestra aplicación bancaria. Si veis cualquier recibo o cargo que no reconocéis, tenéis derecho a devolverlo inmediatamente.
- Denuncia policial: Si detectáis que alguien ha utilizado vuestro DNI para una contratación fraudulenta, denunciadlo a los Mossos d'Esquadra o a la Policía Nacional. La denuncia es vuestra única protección legal contra deudas futuros.
- Cambiad las claves: Aunque Endesa dice que las contraseñas son seguras, como medida preventiva es recomendable cambiar la palabra de paso de vuestra área de cliente y de otros servicios donde utilizáis la misma combinación. Además, se recomienda utilizar contraseñas de al menos 16 caracteres.
- Vigilancia: El experto en legalidad digital leridano Ramon Arnó, además, incluye la vigilancia de nuestros datos, lo que se conoce como Egochecking: Buscar nuestro nombre y DNI con comillas en Google para saber si nuestros datos aparecen en alguna página o filtración de datos. Arnó incluye una recomendación, que es la de utilizar la herramienta Google Alerts a fin de que cada mañana recibamos un mensaje con los sitios donde aparece nuestro nombre o DNI.
- Vía alternativa: Otra medida de seguridad que recomienda Arnó es no contactar nunca con el banco a través del teléfono que nos envíen los ciberdelincuentes. Si recibimos un correo que sea de nuestro banco, lo que tenemos que hacer es buscar el teléfono del banco, pero nunca desde el mismo correo, porque este será falso. Nunca se tiene que utilizar la misma vía ni mecanismo que utiliza el delincuente.
