Quan es fa públic un ciberatac a una gran companyia, l’atenció sol centrar-se en si hi haurà interrupcions del servei o filtracions massives de dades. No obstant això, en incidents que afecten empreses d’infraestructures crítiques com Endesa, el perill més gran per als clients acostuma a aparèixer dies o setmanes després: l’onada d’estafes que aprofiten la confusió generada.
Aquest article analitza el context del ciberatac, els possibles escenaris de frau posteriors i ofereix recomanacions clares perquè els clients es protegeixin davant intents de suplantació cada cop més sofisticats.
Els ciberatacs a grans empreses energètiques rarament busquen provocar apagades. Els sistemes que garanteixen el subministrament elèctric solen estar separats dels entorns comercials i administratius. El valor real per als atacants és un altre: la confiança dels clients.
Quan el nom d’una empresa coneguda apareix als mitjans associat a un incident de seguretat, es crea un escenari ideal per a l’enginyeria social. Els delinqüents saben que els usuaris estan alerta, però també preocupats, i aprofiten aquest estat emocional per fer creïbles missatges que, en una situació normal, aixecarien sospites.
Després d’un ciberincident, és habitual que apareguin campanyes de frau que no tenen necessàriament relació directa amb l’atac original, però que n’utilitzen el relat com a excusa.
Un primer escenari és la suplantació directa d’Endesa. Correus electrònics, SMS o trucades poden alertar de suposats problemes amb una factura, d’un error en les dades del contracte o de la necessitat de “verificar informació” arran del ciberatac. L’objectiu és sempre el mateix: aconseguir que l’usuari faci clic en un enllaç o faciliti dades personals.
Un segon escenari, encara més perillós, és la suplantació del banc del client. Els atacants poden afirmar que han detectat un càrrec sospitós relacionat amb Endesa o que l’IBAN del client podria estar compromès. En alguns casos, fins i tot poden mencionar dades parcials reals per donar credibilitat al relat.
Els fraus més elaborats combinen diversos canals: un SMS inicial, un correu electrònic i, finalment, una trucada d’un fals “agent” que pressiona perquè s’actuï amb urgència. Aquesta coordinació fa que l’estafa sembli legítima, quan en realitat no ho és.
Els ciberdelinqüents no improvisen. En aquest context poden adoptar diferents papers: agents d’Endesa, treballadors del servei antifrau del banc, operadors d’emergència o tècnics que utilitzen un llenguatge aparentment professional. Tots aquests rols tenen un element comú: creen una sensació d’urgència i demanen accions immediates.
Cal recordar una regla bàsica: ni les companyies energètiques ni els bancs demanen mai contrasenyes, codis SMS o dades bancàries completes per correu, missatge o trucada inesperada.
Davant aquest tipus de situacions, la prevenció és essencial. La primera norma és contundent: no fer clic a cap enllaç rebut per SMS, correu electrònic o aplicacions de missatgeria, encara que el missatge sembli urgent o faci referència al ciberatac.
Qualsevol incidència bancària real s’ha de comprovar sempre directament a l’app oficial del banc. Si no hi ha cap notificació dins l’aplicació, el més probable és que es tracti d’un intent d’estafa. L’accés s’ha de fer obrint manualment l’app o escrivint l’adreça web, mai a través d’enllaços rebuts.
També és fonamental desconfiar de trucades inesperades. En cas de dubte, la millor opció és penjar i trucar directament al número oficial de l’empresa o del banc. A més, convé revisar moviments bancaris amb regularitat, canviar contrasenyes si hi ha sospites i activar sistemes de verificació en dos passos sempre que sigui possible.
El ciberatac a Endesa posa de manifest una realitat incòmoda: el risc més gran per als clients no és tant l’incident tècnic en si, sinó l’ús fraudulent que tercers poden fer del context informatiu. En un entorn digital cada cop més complex, la millor defensa continua sent la mateixa: prudència, verificació directa i desconfiança davant qualsevol comunicació no sol·licitada.
No clicar, no facilitar dades i comprovar sempre la informació als canals oficials no és només un consell, sinó una necessitat.
Comentaris