El pasado lunes 12 de enero saltaron las alarmas.  Endesa y su comercializadora Energía XXI habían sufrido un acceso no autorizado a sus sistemas, habían sufrido un hackeo. La propia compañía ya llevaba unos días avisando a sus usuarios de que alguien había entrado en su base de datos, llevándose nombres, DNI, números de cuenta y detalles de los contratos.

Lo más curioso de esta historia es lo que le pasó a Alberto Payo, un periodista especializado que ya había adelantado la noticia una semana antes. Poco después de publicar su artículo, recibió un mensaje directo del propio atacante. «Soy el de Endesa», le soltó sin rodeos. El hacker, que se hacía llamar «Spain», demostró que no mentía enviándole al periodista todos sus datos personales: desde su cuenta bancaria hasta el número de contrato de su segunda vivienda. Payo admite que se quedó de piedra al ver cómo su información privada estaba en manos de un delincuente que solo buscaba fardar y sacar dinero.

A menudo imaginamos a los hackers como genios informáticos, pero la policía nacional dibuja un perfil distinto. Suelen ser jóvenes autodidactas, muchos de ellos sin carreras universitarias, que aprenden por su cuenta en internet. Aunque rastrearlos es un quebradero de cabeza por el uso de redes ocultas y la falta de ayuda de otros países, muchos acaban cayendo.

Las cifras asustan: en solo cinco años, los delitos en internet se han duplicado en España. Ya representan casi uno de cada cinco delitos totales, y la gran mayoría son estafas. El truco de estos criminales es sencillo: usan los datos que roban a las grandes empresas para ganarse nuestra confianza y que caigamos más fácilmente en sus engaños.

El hacker de Endesa intentó negociar con la empresa para sacarles dinero, pero los expertos son tajantes: nunca hay que pagar. Si se cede al chantaje, no solo no hay garantías de recuperar los datos, sino que se financia a estas mafias para que sigan atacando a otros. Además, las empresas tienen la obligación legal de informar de estos robos de datos a las autoridades en un plazo máximo de tres días.

En este caso, Endesa tardó casi una semana en avisar oficialmente a sus clientes. Los especialistas sugieren que este retraso suele deberse a que las empresas primero intentan entender qué ha pasado exactamente antes de dar una voz de alarma que pueda ser confusa.

¿Qué podemos hacer nosotros?

Como clientes, somos los principales perjudicados. Los abogados expertos en el sector recuerdan que, aunque podemos denunciar ante Protección de Datos o pedir daños y perjuicios, es un camino difícil porque hay que demostrar el daño real. La mejor defensa sigue siendo la prevención y estar muy atentos a cualquier movimiento raro en nuestras cuentas, ya que estas redes suelen operar desde el extranjero, lo que hace casi imposible llevarlos a juicio.