La voz al otro lado del teléfono no sonaba improvisada. Sabía quién era ella. Sabía su DNI. Sabía incluso los primeros números de su cuenta bancaria. Todo encajaba demasiado bien como para sospechar. Y, sin embargo, era una estafa.
Soraya Fernández –nombre ficticio, identidad real protegida a petición de la afectada– estuvo a punto de caer. Su testimonio, recogido por Consumidor Global, permite reconstruir con precisión el modus operandi de una estafa casi perfecta, nacida directamente del hackeo masivo de datos de clientes de Endesa. Este incidente, confirmado por la propia compañía, se produjo después de que un actor malicioso lograra exfiltrar más de un terabyte de información altamente sensible de millones de usuarios.
La llamada convincente tras el hackeo a Endesa
–Buenos días, le llamamos de Endesa –dijo una voz segura, profesional–. Le llamamos porque necesitamos completar unos datos de su contrato para evitar una incidencia en el suministro.
A Soraya se le heló la sangre. Hacía menos de un mes que se había mudado, treinta días de papeleos, altas y gestiones. "Claro, yo me lo creí", confiesa, "porque daba la casualidad de que acababa de dar todo de alta. Pensé: claro, les faltará algo".
La conversación fluyó rápida, guiada por el miedo al corte de luz. Pero lo que hizo que Soraya bajara la guardia fue la información. Los estafadores jugaban con las cartas marcadas gracias al masivo robo de datos que ha sufrido la energética.
–Para verificar su identidad, le confirmo sus datos –continuó el operador–-. Usted es 'Soraya Fernández', con DNI número tal…—. Y se lo recitó. Nombre completo. Apellidos. DNI. Letra incluida.
"Ahí es donde caigo ", relata Soraya a Consumidor Global. "Me dicen mi DNI y ya. Me matan. No dudo si es verdad o mentira. ¿Cómo iban a saberlo si no fueran ellos?".
Los estafadores sabían los primeros dígitos del IBAN
Lo que Soraya no sabía en ese momento es que, días antes, Endesa había sufrido un incidente de ciberseguridad masivo. Sus datos, junto con los de millones de clientes, flotaban ya en el mercado negro de la dark web. Y alguien había decidido utilizarlos.
De esta manera, los estafadores avanzaron hacia el botín, proporcionando más información confidencial. "Necesitamos hacer una comprobación del número de cuenta para regularizar el registro", dijo la voz. Le recitó los primeros dígitos del IBAN de Soraya. Eran correctos.
Pero entonces, llegó la petición: "Por favor, dígame usted el resto de la numeración". En ese instante, algo en el instinto de Soraya hizo clic. Una pequeña alarma en la retaguardia de su cerebro.
–Un momento –interrumpió ella–. ¿Cómo puedo comprobar que sois de verdad de Endesa? En ningún momento lo he verificado.
Un correo diseñado para engañar
"No hay problema, le mandamos un SMS ahora mismo", dijo el operador para no levantar sospechas. El mensaje llegó. Corporativo. Aséptico. Pero insuficiente para Soraya, que empezaba a despertar del trance. Exigió más. "Esto no me sirve".
"De acuerdo, le enviamos un correo desde la cuenta oficial ahora mismo", concedió el estafador, ahora con un tono "maleducado".
El correo llegó el 26 de diciembre. A primera vista, era Endesa. Los colores, el logo, la estructura. "Podía dar el pego totalmente, era todo igual", recuerda Soraya. Pero la duda ya había echado raíces. Mientras mantenía a los estafadores al teléfono –quienes empezaban a perder la paciencia y la educación–, Soraya pidió ayuda a su pareja, experto en el sector digital.
La autopsia de un correo falso
A simple vista, parecía auténtico. Pero un análisis detallado revela las grietas. El primer indicio fue un asunto analfabeto que rezaba "Codigo de validacion", sin tildes; un error ortográfico impensable en las plantillas automatizadas y pulidas de una corporación del Ibex 35.
La lectura descendente reveló más grietas en el disfraz. El texto se abría con un gigantesco y coloquial "¡Hola!" en negrita, un saludo que chocaba frontalmente con el tradicional "Estimado cliente" que Endesa reserva para sus comunicaciones legítimas. Esa falsa cercanía venía coronada por un logotipo enorme, de bordes borrosos y estirado a la fuerza. Pero el diablo estaba en los detalles técnicos. El remitente se escondía tras una dirección sospechosa (notificaciones@notificaciones.endesaclientes.com). Y al final del documento, los enlaces legales carecían del cuidado formato corporativo.
"Me cagué en su..."
Al otro lado del teléfono, la máscara de amabilidad de los operadores se desintegró ante la demora. "Eran súper pesados, insistían mucho en que si no completaba el registro me cortaban la luz. Se pusieron súper maleducados", cuenta Soraya.
Cuando su novio confirmó que el correo era una falsificación de alta calidad, la indignación estalló. "Me cagué en su puta madre y colgué rápido", dice la afectada. Pero la pesadilla no acabó al colgar. Durante los siguientes tres días, el teléfono siguió sonando insistentemente. Los estafadores, sabiendo que tenían sus datos reales, intentaron presionar una y otra vez. "Daba mal rollo, la verdad. Cualquier persona puede caer porque estaba muy bien hecho", arguye con un escalofrío.
La contradicción de Endesa
El testimonio de Soraya choca frontalmente con la versión oficial que Endesa ha mantenido tras reconocer el ciberataque. Si bien la compañía admitió la exfiltración de datos sensibles (nombres, DNI, direcciones, IBAN y contratos), en su comunicado a los clientes, al que ha tenido acceso este medio, afirmó que "no se ha detectado un uso fraudulento de los datos" y calificó de "improbable" una afectación grave a los derechos de los usuarios.
Sin embargo, los datos robados no están dormidos; están siendo utilizados activamente para orquestar fraudes complejos que combinan vishing (fraude telefónico) y phishing (fraude por correo). Los criminales ya no necesitan que les demos nuestros datos; ya los tienen. Ahora solo necesitan que les demos nuestra confianza.