Confidencial: La verdad incómoda tras el hackeo a Endesa (y por qué tu IBAN vale oro)
Mientras el comunicado oficial pide calma, en los pasillos de la energética se respira otra cosa. Te cuento lo que significa realmente que los hackers tengan tu DNI y tu cuenta bancaria.
Si trabajas en ciberseguridad, conoces ese silencio. Ese momento exacto en el que un ingeniero de sistemas mira la pantalla, palidece y murmura un "esto no debería estar saliendo". Es el silencio que precede a la tormenta, mucho antes de que el departamento de comunicación redacte el primer borrador de control de daños.
Lo que ha ocurrido en Endesa estos días no es un simple "incidente de seguridad", como reza el eufemismo corporativo habitual. Es una brecha en el casco del barco. Y aunque la versión oficial insiste en que las contraseñas están a salvo —la clásica maniobra de distracción para que no cambies tu password y te sientas seguro—, la realidad técnica que discutimos en los foros privados es mucho más áspera.
Hablemos claro: tener tu contraseña es útil para un hacker novato. Tener tu nombre completo, DNI, dirección y número de cuenta (IBAN) es el Santo Grial para el crimen organizado.
"En las reuniones de crisis nadie pregunta por las contraseñas. El pánico real es la combinación DNI más IBAN. Con eso no entras en una cuenta, te conviertes en la persona."
Esta frase, escuchada (off the record) cerca de la sala de crisis, resume el problema. El robo de credenciales de acceso se soluciona con un correo de "restablecer contraseña". Pero, ¿cómo restableces tu DNI? ¿Cómo cambias tu IBAN sin arrastrar una pesadilla burocrática de domiciliaciones perdidas?
Lo que pocos te dirán en los telediarios es que estos datos ya tienen precio en la Dark Web. No se venden de uno en uno; se venden en paquetes masivos ("fullz" en la jerga) listos para campañas de phishing quirúrgico o fraudes SEPA. El atacante no necesita entrar en tu área de cliente de Endesa para ver cuánto has gastado en luz; lo que quiere es llamar a tu banco haciéndose pasar por ti, con todos los datos necesarios para superar las preguntas de seguridad.
👀 ¿Qué pueden hacer realmente con mi IBAN y mi DNI?
Mucho más que domiciliarte un recibo de gimnasio. Aquí tienes el menú del mercado negro:
- Suplantación de identidad (Spoofing): Pueden contratar líneas telefónicas o pedir microcréditos a tu nombre.
- Ingeniería social bancaria: Si te llaman del "banco" y saben tu dirección, DNI y últimos dígitos de cuenta, ¿desconfiarías? Esa es la trampa.
- Estafas SEPA: Domiciliación de cargos fraudulentos que, si no revisas tu cuenta a menudo, pasan desapercibidos entre tantos pagos mensuales.
Hay otro elefante en la habitación del que se habla poco: la reincidencia. La Agencia Española de Protección de Datos (AEPD) ya multó a la compañía en el pasado por brechas de seguridad. En el sector, esto se ve como una señal de alarma sobre la arquitectura de los sistemas heredados (legacy). Proteger una infraestructura crítica no es solo poner un firewall más caro; es una cultura que, a menudo, choca con la velocidad del negocio.
¿Y ahora qué? Mientras esperas ese correo oficial pidiendo disculpas, mi consejo de "iniciado" es proactivo: activa las alertas de tu banco para cualquier movimiento, por pequeño que sea. El verdadero ataque no fue el día que entraron en los servidores de Endesa; el verdadero ataque empieza ahora, y el objetivo ya no es la empresa, eres tú.
