Historia del ataque a Endesa: un hacker presumido y 20 millones de clientes expuestos

Madrid / Washington

El pasado lunes 12 de enero, a media mañana, la Cadena SER y buena parte de los medios de comunicación de nuestro país contamos que la compañía Endesa Energía, así como su filial en el mercado regulado Energía XXI, habían detectado un "acceso no autorizado" a su plataforma comercial. La energética, que ya venía avisando a sus clientes a lo largo del fin de semana, alertó de una extracción de datos relacionados con los contratos, incluidos el documento nacional de identidad y los medios de pago.

Una semana antes, el lunes 5 de enero, el periodista independiente Alberto Payo ya informó en el medio especializado en ciberseguridad Escudo Digital de este ataque. Lo que no esperaba es que el supuesto –o la supuesta– hacker, a las pocas horas, contactaría directamente con él para matizar su información. “Soy el de Endesa”, inició la conversación el reconocido delincuente.

¿Y cómo tenía su contacto? Gracias a los datos que habría extraído de su contrato de Endesa, según relata el periodista. “Me pasó los datos y coincidían con los de mi segunda residencia: mi número de cuenta bancaria, el número de CUPS [una clave que identifica cada conexión de luz o gas], incluso un indicador de riesgo que tenía Endesa para mí. También el DNI, datos financieros, mi número de teléfono o mi correo electrónico. Me quedé bastante sorprendido”.

Payo cree que Spain (como se hacía llamar el hacker) y sus dos secuaces –"uno de ellos muy joven"–, sobre todo querían lucrarse económicamente. "Primero intentó venderlo a través de Telegram y luego empezó a pensar que podía hablar con Endesa para sacar más dinero o para negociar directamente con la compañía. Me dijo: 'He escrito a Endesa varias cuentas y no me has respondido. Realmente no les interesan a sus clientes'". Según el presunto delincuente, consiguieron acceder a estos datos en apenas dos horas y media. "Aquí es donde se ve la manera de presumir. Los hackers suelen tener estos perfiles", reflexiona.

El perfil del hacker

Pero, ¿cuál suele ser el perfil de los hackers? Al menos de los que las Fuerzas y Cuerpos de Seguridad del Estado consiguen capturar. Le preguntamos al Jefe de Grupo del Cuerpo Nacional de Policía experto en ciberamenazas: "En las últimas detenciones vemos que son jóvenes y que son autodidactas. La mayoría de ellos no tiene ni tan siquiera estudios superiores de informática". Cuenta el inspector que la investigación de este tipo de delitos es, en cualquier caso, muy complicada: "Nos encontramos ante muchas dificultades: redes de anonimización, comunicaciones cifradas, poca colaboración por terceros países… Pero, al final, la labor policial da sus frutos y somos capaces de identificar a estos actores y ponerlos a disposición judicial".

Sendos informes anuales del Ministerio del Interior y del Departamento de Seguridad Nacional sobre la cibercriminalidad en España siguen la misma línea: si en 2019 casi el 10% de los crímenes que se cometían en nuestro país eran a través de medios digitales, en 2024 ya suponían el doble. Prácticamente uno de cada cinco delitos que se cometieron en 2024 fueron cibernéticos. Y de los 465.838 cibercrímenes registrados, el 90% se categorizan como fraude online. Es decir: estafas informáticas.

Y, ¿cuál es el escenario perfecto, según todos los expertos en ciberseguridad consultados, para cometer esos fraudes informáticos? Uno en el que el defraudador pueda engañarte más fácilmente porque ya sabe algunas cosas de ti. Porque tiene esos datos que han conseguido robar a las empresas a los que nosotros se los hemos cedido de buena voluntad.

Negociar o no

El hacker Spain, el criminal confeso que atacó Endesa, intentó pedir un rescate económico a la empresa. El agente de policía explica que el Cuerpo siempre va a recomendar que no pague ni interactúe con el ciberdelincuente. "Lo primero, porque no garantiza que se vaya a recuperar el acceso a esos datos cifrados. Es más, es posible que pidan una cantidad mayor o que vuelvan a ser atacados porque saben que están en disposición de pagar. Y, en segundo lugar, porque de esta manera estamos colaborando con estas redes criminales, estamos financiando su actividad delictiva y propiciando que sigan atacando otras empresas".

En la misma línea, Mariano González, experto en ciberseguridad y coautor de un estudio sobre el nivel de madurez en ciberseguridad de las empresas españolas, añade: "Nunca se negocia, eso no es discutible. La industria del cibercrimen crece porque la gente paga y las grandes empresas y los organismos tenemos que tener claro que no se ha de pagar a estos ciberdelincuentes porque su negocio está en que pagues". El protocolo establece –explica González– ponerse en manos del Centro Criptográfico Nacional y del Instituto Nacional de Ciberseguridad de España para que coordinen la respuesta. También es obligatorio para las empresas comunicar la filtración a la Agencia Española de Protección de Datos (AEPD) antes de 72 horas desde que tenga constancia de la brecha.

Tardanza

Cinco días después de los primeros reportes del hackeo, algunos clientes de Endesa empiezan a recibir un correo electrónico de Endesa en el que se alerta de un "incidente" que ha comprometido la confidencialidad de ciertos datos de los que la compañía energética es responsable.

¿Por qué tardó Endesa casi una semana en comunicar a sus clientes una brecha de seguridad de estas magnitudes? Según el experto en ciberseguridad estos tiempos dependen bastante de cómo de avanzada esté la resolución del ciberincidente. "Lo primero que debes tener claro es qué ha pasado, cuáles son las consecuencias y cuáles son los datos que potencialmente se han robado. Con la AEPD se trabaja para que el mensaje hacia la ciudadanía sea claro. Quizás la demora en la comunicación con los clientes se explique por ahí".

Qué pasa con los clientes

Pero, ¿qué posibilidades tenemos entonces los usuarios? Somos, como mínimo, igual de víctimas del ataque informático que la compañía que la sufre.

Para Carlos Alberto Saiz, abogado, vicepresidente de ECIX –una firma especializada en ciberseguridad– y cofundador de la Asociación para el Fomento de la Seguridad de la Información ISMS FORUM, hay dos vertientes. La de todos nosotros, los usuarios: "Tenemos que ser muy conscientes de la responsabilidad que tenemos en este mundo digital. Todavía nos falta generar un poquito más de cultura de ciberseguridad". Y la de la compañía hackeada: "Una vez que una compañía que ha sido víctima de un ataque lo que tiene que hacer es ser transparente y colaborar en todo lo posible para que eso no se materialice en un impacto contra los intereses de la persona".

Si un afectado o grupo de afectados quiere reclamarle responsabilidades a la empresa puede reclamar ante la AEPD o demandar por daños y perjuicios, pero, evidentemente, hay que acreditarlo, y no es tan fácil. "Es muy difícil identificar a quién estafa e iniciar un procedimiento contra él. Normalmente, además, no son españoles, ni están en España, aunque actúen contra un español. Suelen ser mafias o redes internacionales utilizando tecnologías por todo el mundo para intentar estafar y entonces la cosa se complica".