¿Ha recibido un email de Endesa por un fallo en la factura? Cuidado, podría ser una estafa

Los ciberataques son una de las principales amenazas de Internet. Y es que aunque la digitalización ha traído numerosas ventajas, esta también ha sido utilizada por los estafadores para infectar la red día tras día y aprovechar cualquier mínima brecha de seguridad para hacerse con la información sensible o dinero de particulares, empresas e incluso gobiernos.

Esta vez ha sido Endesa el objetivo de los ciberdelincuentes, ya que han suplantado la identidad de la empresa de suministro de energía para obtener información personal y bancaria de sus clientes. El método utilizado por estos estafadores ha sido el "phishing", es decir, el envío de un correo electrónico fraudulento a un usuario simulando ser una entidad legítima para "robarle información privada, realizarle un cargo económico o infectar el dispositivo", explica el Instituto Nacional de Ciberseguridad (Incibe).

En este caso, la víctima recibe un correo electrónico en el que se le notifica que tiene un reembolso pendiente de 200 euros que se puede cobrar accediendo a una plataforma que suplanta la imagen de la web “Mi Endesa”. Para poder solicitar este importe, el usuario deberá acceder a un enlace que está adjunto en el correo.

Desde Incibe explican que "el enlace fraudulento redirige a una página que simula ser el acceso del área cliente oficial de Endesa. Para dar credibilidad, permite acceder a la cuenta del cliente a través de una cuenta de Google. En el formulario se solicita el correo electrónico y la contraseña".

Después de acceder a la supuesta área cliente, aparece un formulario que el cliente debe rellanar con los datos donde quiere que le ingresen el reembolso: nombre y apellidos, número de la tarjeta, fecha de caducidad y código de seguridad.

Tras introducir estos datos aparecerá una página que simula efectuar una validación con un código OPT, es decir, una contraseña de un único uso. Este código se debería enviar al número móvil de la víctima mediante un SMS, aunque probablemente nunca lo reciba. Asimismo, se solicitará el código PIN de la tarjeta.

"En este punto, si hemos pulsado en el botón ‘Proceder’, la página web maliciosa ya habrá capturado la información introducida y los ciberdelincuentes ya estarán en posesión de nuestros datos", concluye el Incibe.

¿Qué puede hacer si ha sido estafado?

En el caso de que la víctima haya recibido este correo electrónico, haya accedido al enlace y haya introducido y enviado los datos personales y bancarios, el Instituto Nacional de Ciberseguridad le aconseja que siga las siguientes recomendaciones para protegerse:

• Si se ha facilitado información bancaria, la víctima deberá contactar con su entidad bancaria para informar de lo sucedido y que tomen las medidas de seguridad necesarias, como el bloqueo o cancelación de la tarjeta, entre otras.
• Si se está a la espera de un reembolso del proveedor de suministros energéticos, se puede acceder a la página oficial de Endesa y comprobarlo en el área de cliente.
• Al haber ofrecido los datos personales, la víctima de esta estafa deberá realizar búsquedas en Internet (egosurfing) durante los próximos meses para verificar que no se ha expuesto información sobre ella. En el caso de encontrar algún dato personal publicado, esta podrá ejercer el derecho al olvido para que se elimine de la red.