Cómo protegerte del phishing que usa el nombre de Endesa

¿Qué es el phishing?

La única manera de protegerse del estafador es conocer en qué consiste su estafa. El phishing (que deriva del verbo "pescar" en inglés) es un timo en 3 pasos:

1. Ganar tu confianza: para ello, los ciberdelincuentes se disfrazarán de una marca que conoces y con la que tienes relaciones. Copiarán su logo, imitarán sus emails y serán capaces incluso de construir páginas web enteras que se asemejen a las originales. El objetivo es hacerse pasar por tu banco, por tu aseguradora, por tu eléctrica.
2. Usar una buena excusa: necesitan un motivo que te haga teclear tus datos más sensibles. Puede ser cualquier cosa: una incidencia técnica, un error al cobrarte o una situación urgente. Un nuevo tipo de timo, que utiliza la marca Endesa, emplea como gancho o excusa un supuesto programa de fidelización con puntos.
   En todos los casos, suelen presentarlo como algo que debes hacer muy rápido y sin pensártelo mucho.
3. Capturar tus datos sensibles: como por ejemplo tu número de tarjeta de crédito, la contraseña para tu Área Cliente...

El éxito de la estafa depende en cierta medida de la habilidad de los criminales, ya que no todos consiguen fabricar un señuelo convincente. En cualquier caso, la mejor manera de hacer que fracasen es que tú lo tengas claro.

Tipos de ataques de phishing más comunes

Existen diferentes tipos de phishing, cada uno con sus propias características y métodos de ataque al usuario. El primer paso para no caer en la trampa y prevenir ser otra víctima de esta amenaza que asecha en el mundo digital, es conocerlos muy bien:

Phishing por correo electrónico

Es el más habitual o el modo tradicional de phishing. Se basa en un ataque a través de correos electrónicos falsos que parecen provenir de fuentes u organizaciones legítimas (bancos, empresas, ONGs).

El objetivo es lograr que el usuario haga clic en un enlace malicioso, o que proporcione información personal o confidencial, como contraseñas, datos bancarios o credenciales de acceso.

Spear phishing

Se le denomina así al ataque personalizado, dirigido a una persona específica o a un grupo dentro de una organización o empresa, para obtener acceso a información sensible o comprometer sistemas internos.

Suelen realizarse como correos personalizados que parecen enviados por un colega o superior, solicitando acceso a documentos o credenciales privadas.

Whaling

Es una variante del “spear phishing”, pero con la misión de atacar a altos ejecutivos o personas con poder de decisión dentro de la organización, para tratar de “robar” información financiera, autorizar transferencias o acceder a datos estratégicos. (Correos falsos vinculados al CEO solicitando una transferencia urgente de fondos, por ejemplo).

Clone phishing

El atacante clona un e-mail legítimo y de origen confiable, previamente recibido, y lo reenvía a la víctima, incluyendo un enlace o archivo malicioso adjunto.

El objetivo es aprovechar la confianza del usuario con el correo original, para que caiga en la trampa y facilite datos confidenciales.

Pharming

Es la manipulación técnica que redirige al usuario desde una página web legítima a una falsa sin que este lo note, para robar contraseñas, credenciales o datos bancarios.

Un ejemplo es escribir la URL de tu banco en el navegador, y que al hacer clic te lleve sin saber a una página ficticia, cuyo diseño es idéntico al de la web original. Allí escribirás tus datos de acceso, los cuales serán grabados por el atacante.

Smishing (Phishing por SMS)

No todos los ataques son por e-mail, también ocurren vía mensaje de texto (SMS). El objetivo es engañar al usuario para que haga clic en un enlace o responda con información personal, como sucede también por correo electrónico.

SMS enviados aparentemente por empresas de traslado de mercancía, pidiendo hacer clic en enlaces para hacer seguimiento al paquete o verificar datos, son los casos más comunes.

Vishing (Phishing telefónico)

La amenaza es a través de una llamada telefónica, en la que el atacante se hace pasar por una empresa legítima con el objetivo de obtener información confidencial verbalmente, para grabarla o apuntar datos y usarlos para su beneficio.

Usurpar la identidad de bancos u otras entidades financieras para solicitar la confirmación de números de tarjetas o contraseñas, suelen ser los escenarios más habituales.

Ejemplos de phishing en nombre de Endesa

Al ser la principal eléctrica del país, los ciberdelincuentes no podían ignorar a Endesa y en numerosas ocasiones han intentado usar su buen nombre para embaucar a sus víctimas. Han usado diversas estrategias, orquestando verdaderas campañas de phishing. Su variedad favorita es la siguiente:

• A) Recibes un email que parece ser de Endesa.

Cómo evitar el phishing que usa el nombre de Endesa

Lo primero es estar tranquilos: Endesa vigila constantemente este tipo de ataques y contra-ataca para preservar la seguridad de los datos de sus clientes.

Lo segundo es ignorar sistemáticamente este tipo de correos. Si tienes cualquier tipo de duda, contáctanos. Es gratis y estaremos encantados de despejar tus inquietudes. En la siguiente página encontrarás una variedad de maneras de contactar con Endesa. Antes de fiarte de un email extraño, o de una llamada sospechosa, bebe de la fuente autorizada: endesa.com, la web de Endesa.

Lo tercero es intentar ser proactivo. ¿Por qué permitir que unos piratas informáticos te engañen? Si estás al tanto de tu consumo de energía y del estado de tus facturas de luz y gas, eso no va a pasar nunca. No podrán engañarte si tú sabes más que ellos. Por eso te animamos a registrarte en tu Área Cliente de Endesa si aún no lo has hecho.

Podrás consultar el estado de tus facturas (las del pasado y las que se están calculando), revisar tu consumo eléctrico en cada hora de cada día, modificar datos de tu contrato como, por ejemplo, la cuenta bancaria en la que domicilias tus facturas.

Toma el control para que nadie te controle. Ayúdanos a vencer a los ciberdelincuentes.

"Si recibes cualquier correo o llamada sospechosa, no lo dudes: contacta con el servicio oficial de Atención al Cliente de Endesa y despejaremos tus inquietudes".

¿Y si he caído en la trampa? Pasos a seguir

Si has caído en la trampa y te das cuenta de que eres una víctima de phishing, es primordial actuar rápidamente para minimizar el daño y proteger la mayor cantidad de información personal posible. Te damos un paso a paso que puedes seguir:

• Paso 1: Identifica el tipo de ataque

Debes revisar si has hecho clic en un enlace sospechoso, si has descargado un archivo adjunto malicioso o revelado información personal. Es importante determinar primero el tipo de phishing (por e-mail, mensajes de texto o SMS, llamada telefónica, etc.).

• Paso 2: Desconecta el dispositivo (si es necesario)

Si descargaste un archivo adjunto o crees que tu ordenador, teléfono o tablet fue afectado, desconéctalo de Internet para evitar que el atacante tenga acceso remoto a más información dentro del dispositivo o red general.

• Paso 3: Cambia tus contraseñas

Es importante modificar todas las contraseñas de las cuentas afectadas, empezando por las más sensibles o que den acceso a información confidencial (correo electrónico, banca, RRSS). Procura usar contraseñas complejas y diferentes para cada cuenta.

• Paso 4: Activa la verificación en dos pasos

Habilita la autenticación de dos factores en todas las plataformas, apps y páginas web que cuenten con esta tecnología de seguridad, para así añadir una capa extra de protección. También, escanea tu dispositivo con un antivirus o antimalware actualizado para eliminar posibles amenazas.

• Paso 5: Contacta a los involucrados

Si aportaste o revelaste datos bancarios, comunícate con tu banco de inmediato para que proceda a bloquear tarjetas o cuentas, y haga seguimiento a próximos movimientos. Cancela cualquier acuerdo e infórmales que estás revocando tu consentimiento.

Si el ataque involucra tu empresa, debes informar al departamento de IT o de ciberseguridad. También avisa a tus contactos para que no caigan en el mismo engaño.

• Paso 6: Reporta el incidente

Debes denunciar la estafa a las autoridades competentes, como la policía, Guardia Civil, CNMC (Comisión Nacional de los Mercados y la Competencia), INCIBE (Instituto Nacional de Ciberseguridad), la Oficina de Seguridad del Internauta (OSI), etc.

• Paso 7: Monitorea tus cuentas

Haz una revisión periódica, durante varios días, de tus movimientos bancarios, actividad en RR.SS y correo electrónico, para detectar a tiempo accesos no autorizados o cambios sospechosos en tus cuentas y perfiles.

Cuando nos pongamos en contacto contigo a través de nuestros canales oficiales, lo haremos siempre en nombre de ENDESA ENERGÍA. Además, cuando se trate de una nueva contratación, aportaremos y solicitaremos datos por igual para tu seguridad.