Más de 70 dominios dados de baja para frenar la estafa de la factura falsa de Endesa

Desde la compañía, la primera eléctrica española afectada por el «phising», avisan de que mañana podría volver a haber una oleada de ciberataques. ¿Cómo evitar caer en este timo, que también afecta a Vodafone Italia y a la eléctrica PGE sueca?

«El 30 de mayo nos llegó el primer envío de correos falsos. A las 16:00 horas detectamos que era un «ransomware», que es un «malware» que lo que te hace es cifrar ficheros y luego pedir un rescate por ellos. Ese día enviamos una carta a 2 millones de clientes que tenemos on-line», recuerda Jorge Sánchez-Mayoral, director de Canales Digitales y Experiencia del Cliente de Endesa.

La última oleada llegó el pasado 21 de junio, aunque desde entonces se han enviado algunos correos esta semana. La gestión de la crisis ha pasado por comunicar la estafa. Pero a pesar de los días de calma, siguen detectando la creación de dominios por lo que piden estar atentos antes de hacer click. «Hemos dado de baja más de 70 dominios, que es a la url final a la que, al pinchar (en el botón naranja que pone consulta tu factura y consumo), te derivan y se cifran los documentos, imágenes, vídeos... que el afectado tenga en el ordenador. La última hornada de ataques fue el 21 de junio, pero mañana pueden volver a atacar, porque estamos viendo la creación de nuevos dominios», explica Justo López Parra, del departamento de Seguridad de la Información de Endesa.

«El primero que hicieron fue endesa-clientes.com, que se parece a endesaclientes.com, luego endesa-clientes24, endesa-clientes36. Van cambiando porque vamos dando de baja los dominios. Pero eliminamos uno y en función de minutos hay otro operativo. Es desesperante», reconoce Justo. «Han pasado de ese primer dominio parecido al nuestro desde el que se descargaba el ‘‘malware’’ y te cifraba la base de datos, las imágenes... a dominios que ya no se parecen en nada a Endesa. El último que hemos visto (el día de la entrevista) es factura-server.org». «Otro ha sido endesaespana.org, son nombres que nosotros nunca usaríamos, pero a ellos les sirve para engañar a la gente».

Justo recuerda que en caso de ser víctima de «phising», «lo primero que hay que hacer es ponerse en contacto con el Incibe para descifrar y limpiar el equipo. Nosotros ya hemos puesto una denuncia en la Policía y quien quiera se puede adherir a este número».

«Hasta el jueves atendimos 479 casos, la mayoría de ellos eran empresas. De todos ellos, sólo 11 no conseguimos solucionar. Aunque habitualmente en 48-72 horas quedan resueltos, ya que en estos casos suele pasar que no logramos comunicar con el afectado», afirma Marcos Gómez, subdirector de Servicios de Ciberseguridad del Instituto Nacional de Ciberseguridad (Incibe). Gómez recuerda que colaboran «con fabricantes de filtros antispam para detectar este tipo de eventos u otros. De modo que nuestros sistemas tecnológicos, tras detectarlos, definen una regla, la implementan y luego el usuario o la empresa si tiene este filtro puede directamente no recibir más el correo».

Crimea, en el punto de mira

Aunque Endesa es la primera eléctrica española afectada por el «phising» (no es la primera en Europa), resulta importante estar atentos por si otro ciberataque se repite bajo una factura falsa de Endesa o de cualquier otra compañía. Porque «todo apunta a que los mismos autores de este ciberataque, que al parecer operan desde Crimea, son los mismos que han atacado Vodafone en Italia y la compañía eléctrica EGP en Suecia, justo el 21 de junio», explica López Parra.

Varios datos a tener en cuenta: aunque su nombre y su apellido coincidan lea siempre el remitente. Antes de hacer click en ningún sitio, por mucho que los colores sean parecidos, revise la información que pone en el correo. En el caso de la factura falsa de Endesa, daban información de potencia contratada en trifásico, en vez de en monofásico (es decir, tres potencias que se repetían en vez de una sola) y si duda, primero póngase en contacto con Endesa.