iStock

Con la colaboración de:

Sociedad

Endesa frente al ‘phishing’: claves para prevenir, detectar y actuar ante los fraudes

La compañía refuerza la protección de sus clientes frente al ‘phishing’ mediante estrategias de concienciación, tecnología avanzada y canales de verificación para combatir fraudes y garantizar comunicaciones seguras en el sector energético.

Publicada

Las claves
nuevo Generado con IA

El phishing es una amenaza creciente que utiliza técnicas sofisticadas y manipulación psicológica para obtener datos confidenciales de clientes y empresas, afectando tanto a particulares como a grandes compañías como Endesa.

Los estafadores suelen suplantar la identidad de empleados de Endesa o de empresas relacionadas, empleando tácticas como la urgencia, promesas engañosas y amenazas para obtener información sensible o inducir cambios de compañía sin consentimiento.

Endesa ha implementado un enfoque proactivo contra el phishing, destacando la concienciación y la formación de clientes, empleados y partners, así como herramientas como un buscador para verificar llamadas autorizadas.

La compañía recomienda colgar el teléfono ante presiones, no compartir información confidencial en llamadas no solicitadas, denunciar intentos de fraude y confirmar siempre la identidad de los interlocutores mediante preguntas directas.

El fraude telefónico, también denominado ‘phishing’, es actualmente una de las mayores amenazas para las personas y, en general, para todo tipo de empresas. Se trata de actos delictivos que pretenden engañar o confundir a los clientes mediante ofertas falsas, supuestas mejoras en contratos o ventajas de todo tipo. El objetivo último es obtener información confidencial —datos bancarios, contraseñas, etc.— que pueda ser utilizada posteriormente.

Y el ‘phishing’ es un problema real, tangible y muy actual, es, precisamente, porque los ciberdelincuentes adoptan metodologías cada vez más sofisticadas. Esto, unido al uso de la inteligencia artificial y a la manipulación psicológica que se ejerce sobre los interlocutores, puede relajar las defensas de cualquier persona, sobre todo si no son conscientes de este problema y de los riesgos asociados.

Y es que, a diferencia de otros fraudes más evidentes, el ‘phishing’ resulta especialmente dañino. En primer lugar, los atacantes pueden presentarse bajo la apariencia de trabajadores de empresas reconocidas e, incluso, de aquellas de las que la víctima es cliente, aportando para ello datos que pueden ser reales. El uso de un lenguaje técnico y convincente también les ayuda a ganarse la confianza del receptor.

Además, el catálogo de prácticas emplea sin ambages la inmediatez, la urgencia y la personalización para inducir a la víctima a actuar sin reflexionar. Por ejemplo, pueden simular situaciones de emergencia como la supuesta suspensión del servicio eléctrico u ofrecer atractivas ofertas temporales para forzar una reacción rápida.

Desarrollar un “relato creíble”

Carlos Ródenas, responsable de procesos y ciberseguridad de Endesa, afirma que “el ‘phishing’ es un término que lleva más de 30 años acuñado. Empezó por intentar descubrir las contraseñas de proveedores de acceso a Internet en la década de los 90; evidentemente, en todos estos años ha ido evolucionando y, básicamente, lo que buscan es intentar desarrollar un relato creíble” que se basa “en una alta personalización”.

La motivación en este tipo de acciones, como explica Ródenas, no siempre persigue el robo de datos: “Puede ser que se cambien a otra compañía, y eso no sería un robo de datos, pero sí un engaño para cambiar de empresa. Puede ser que den los datos bancarios para robar dinero; puede ser que den nuestras claves de acceso… Lo que buscan los estafadores”, concluye, “es sacar un rendimiento, un rédito a esa estafa o esa potencial estafa”.

Aunque los perjuicios recaen en las personas, las empresas también acaban siendo víctimas de estas prácticas. Por eso, Endesa lleva años tomando medidas para minimizar el impacto de estas prácticas, no solo para sus clientes, sino para cualquier persona. Y es que todos somos susceptibles de caer en una de estas trampas.

El papel proactivo de Endesa frente al phishing

La posición de Endesa en este ámbito es proactiva y su compromiso se articula en torno a varias líneas de actuación. La más urgente es la concienciación, que pasa por informar a la sociedad sobre este asunto y explicar su alcance. Y no solo eso: la formación es clave, por eso enarbola más de una decena de iniciativas y campañas para todos los actores implicados —clientes, empleados y partners— sobre estas prácticas fraudulentas.

La transparencia en todo este esquema es un arma muy valiosa contra la ciberdelincuencia de este tipo. Endesa ha activado un buscador en su portal web para que los usuarios puedan comprobar en tiempo real si el teléfono desde el que han recibido una llamada está autorizado por Endesa. Que este servicio haya llegado a superar las 200.000 visitas en apenas dos meses, con una tasa de detección de más del 90% de números no confiables, demuestra la prevalencia de este problema.

Por supuesto, la seguridad en las comunicaciones con los clientes también constituye una prioridad para la compañía. Esto se traduce en la implantación de medidas técnicas y organizativas para proteger la información de los usuarios, garantizando que las gestiones comerciales o de datos solo se realicen a través de los canales seguros de la empresa y siempre con la colaboración activa del cliente.

Esto es clave porque una de las cuestiones que los ciberdelincuentes aprovechan con más intensidad es la confusión entre lo que es una comercializadora y una distribuidora. La distribuidora es la empresa encargada de llevar la energía a los puntos de consumo, pero no tiene relación contractual directa con el cliente final. La comercializadora, en cambio, es la que firma el contrato de suministro y gestiona todos los trámites administrativos y de facturación.

Prácticas reincidentes

Los delincuentes suelen contactar a las víctimas haciéndose pasar por la distribuidora para inducirles un cambio de comercializadora sin consentimiento, lo que constituye una grave vulneración de los derechos del consumidor y distorsiona el mercado eléctrico.

Esta es solo una práctica, pero entre las estrategias más habituales de los estafadores hay algunas que se repiten constantemente:

  • Suplantación de identidad: agentes falsos que se hacen pasar por representantes de Endesa o de empresas relacionadas, solicitando datos personales o bancarios con la excusa de supuestas gestiones urgentes.
  • Promesas engañosas: ofertas irreales o promesas de precios más bajos, asegurando al cliente que volverá automáticamente a Endesa tras una prueba con otra compañía.
  • Coacciones y amenazas: llamadas de supuestos servicios jurídicos que presionan al usuario para que acepte nuevos contratos o facilite información sensible.
  • Envío de enlaces maliciosos por SMS y correo electrónico, diseñados para recopilar credenciales o instalar malware.
  • Solicitud de información confidencial bajo pretexto de corregir errores o evitar molestias como cortes de suministro.

¿Cómo actuar si creemos estar en esta situación?

La opción más rápida es colgar el teléfono, sobre todo cuando hay presión para tomar decisiones rápidas. La oportunidad de verificar la identidad que brinda Endesa permite despejar dudas, pero en cualquier caso, hay que recurrir al sentido común: no compartir nunca información confidencial, salvo en trámites iniciados por el propio cliente.

Y para evitar que otras personas sufran el mismo riesgo, también es muy recomendable avisar al entorno próximo y denunciar siempre las tentativas o fraudes consumados, tanto ante Endesa como ante autoridades como la Policía, la Oficina de Seguridad del Internauta (OSI) o la Comisión Nacional de los Mercados y la Competencia (CNMC). O, si ya se ha facilitado algún tipo de dato, cambiar contraseñas y revisar movimientos bancarios ante la sospecha de que se haya proporcionado información sensible.

“Hacer muchas preguntas”

En todo caso, para Carlos Ródenas, responsable de procesos y ciberseguridad de Endesa, el proceso de estafa se puede dividir en dos momentos diferenciados: “El primero es antes de que se produzca la estafa. Tenemos que ser preventivos, debemos evitar que la estafa suceda y para eso nosotros [Endesa] lo que hacemos es comunicar, difundir los riesgos que hay detrás de todo esto”.

“Y el segundo es durante la estafa”, prosigue, “cuando ya estamos inmersos en el proceso de fraude. Lo primero que tenemos que hacer ante una llamada de este tipo es preguntar, encender nuestro sistema de alerta y preguntar a la persona que nos ha llamado de qué empresa ofrece sus servicios. Si es comercializadora o distribuidora. Porque, claramente, si alguien dice que te llama en nombre de la distribuidora, es un fraude”.

“Intentemos preguntar también para aclarar el motivo verdadero de la llamada, preguntando si lo que quiere es ofrecer un cambio de comercializadora y, en ese caso, cuál será la nueva comercializadora. […] Lo que recomendamos nosotros es hacer muchas preguntas”.

Contraatacar, en cierto modo, también es una defensa. Como señala Ródenas, “como se basan en la inmediatez, en la urgencia, ya el propio estafador se siente incómodo frente a estas preguntas y en muchas ocasiones directamente nos cancela o nos corta las llamadas”.

El ‘phishing’ es una amenaza global que requiere un esfuerzo compartido por parte de empresas, organismos públicos y usuarios. Endesa, consciente de su responsabilidad y del creciente nivel de sofisticación de los fraudes, refuerza a diario sus políticas de prevención, protección y educación, situando al cliente en el centro de su estrategia de ciberseguridad. La mejor defensa es la información, la verificación y una actitud vigilante frente a comunicaciones no solicitadas o sospechosas.