Las Claves #ciberataque

La Comisión Europea ha sido la última víctima de los ciberataques. Ha confirmado por medio de un comunicado que el 30 de enero la infraestructura central que gestiona los dispositivos móviles identificó “rastros de un ciberataque”. Entre los datos a los que se pudo haber accedido están “nombres del personal y números de teléfono móvil de algunos de los miembros del personal”.

Un incidente que los expertos critican la gestión de ciberseguridad existente.“Nos dicen que ningún dispositivo fue comprometido, pero admiten acceso a nombres y móviles. Entonces, ¿de dónde salieron?”, señala Sancho Lerena, CEO de la tecnológica española Pandora FMS y experto en gestión IT y seguridad. 

La Comisión indica en su comunicado que “la rápida respuesta garantizó la contención del incidente y la limpieza del sistema en un plazo de nueve horas” y que “no se detectó ningún compromiso de los dispositivos móviles”. Sin embargo, confirman el acceso a números de teléfono y nombres.

Lerena subraya que “contener un ataque en 9 horas no es eficiencia, es suerte”, porque “no deberías enterarte de un acceso por rastros, sino por alertas activas”. Según el especialista, es una muestra de la deficiencia de un modelo actual basado en la centralización tecnológica desde el plano técnico. 

Desde el sector se critica que hay una visibilidad limitada, un exceso de confianza normativa y una narrativa de control que no se sostiene ante actores avanzados: “No hay una monitorización en tiempo real. La brecha estructural es evidente aunque no haya habido compromiso de dispositivos y una limpieza tras 9 horas no refleja fortaleza sino un grave problema”, indica el CEO de Pandora FMS. “Ya hemos visto incidentes similares donde el patrón común es una arquitectura IT centralizada y una confianza ciega en sistemas únicos sin capacidad real de respuesta activa”, resalta.

Europa, que en su propio comunicado destaca que se “enfrenta diariamente a ciberataques e híbridos contra servicios esenciales”, sigue sin mostrar una fortaleza de ciberseguridad a la altura esperada. Además, la falta de soberanía IT con la IA, el cloud y los datos europeos gestionados en su mayoría por empresas estadounidenses limita la posibilidad de acción y de independencia europea. 

“Se habla de resiliencia cuando lo que hay es opacidad. Sin trazabilidad clara, lo único que podemos contener es la narrativa. El verdadero problema no es el ataque, es que en Bruselas han puesto todos los dispositivos bajo la misma sombra sin saber quién enciende la linterna”, concluye Lerena.

Según datos analizados por Pandora FMS en base a informes de Incibe, solo en España el año pasado hubo un aumento del 43% de ciberataques a sectores considerados esenciales. Además, otros datos cotejados por la compañía a partir de análisis de CrowdStrike muestran que los ciberataques procedentes de países presentes en tensiones geopolíticas han aumentado. Más allá de Rusia, el crecimiento de los que tienen origen en China fue del 150%.

"Este ciberataque a la Comisión Europea, la forma en la que se ha detectado y la respuesta tras 9 horas no suponen un éxito de actuación, sino un claro aviso de la debilidad", recalcan en Pandora FMS.

Endesa Energía ha reconocido "un acceso no autorizado e ilegítimo" a su plataforma comercial a principios de año que ha resultado en la extracción de datos de los clientes relacionados con sus contratos de luz y de gas, incluidos el documento de identidad y los medios de pago. 

El grupo de ciberdelincuentes, que ha superado las medidas de seguridad implementadas por la empresa en su plataforma comercial, “habría tenido acceso y podría haber exfiltrado” datos de contacto, documentos de identidad y el IBAN de la cuenta bancaria. Endesa Energía asegura que no se han visto afectadas las contraseñas de acceso.

Aunque por el momento no ha detectado un uso indebido de los datos robados, la empresa avisa que los ciberdelincuentes pueden intentar usurpar o suplantar la identidad de los clientes, publicar los datos en foros digitales en la dark web o utilizarlos para enviar correos o mensajes fraudulentos dentro de campañas de phishing y de spam.

De momento, el grupo que presume ser el autor del ciberataque desvela detalles sobre éste en un foro de la dark web el domingo 4 de enero, como que se ha hecho con más de 1 TB de información que afecta a más de 20 millones de personas: "Hay datos personales, como nombres y apellidos, datos de contacto, dirección postal, y relación cuenta-persona; datos financieros, como IBAN, datos de facturación e historial de cuentas y cambios; datos energéticos, como el identificador único de punto de suministro o CUPS, contratos activos de luz y gas, datos del punto de suministro y datos regulatorios, como Listas Robinson, cuentas exentas e historial de incidencias”.

La empresa considera “improbable” que este robo “se materialice en una afectación de alto riesgo para sus derechos y libertades”, aunque recomienda a los clientes que estén atentos a “posibles comunicaciones sospechosas que pudiera recibir en los próximos días” y les insta a comunicar cualquier acción sospechosa en el número de teléfono: 800 760 366.

Nada más conocer el incidente, Endesa Energía también ha activado los protocolos y procedimientos de seguridad establecidos para estos casos, así como “todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro”.

Falta inversión en ciberseguridad y en personal cualificado

Para la firma tecnológica española Pandora FMS, el ciberataque a Endesa refleja el valor que tienen las empresas energéticas y reafirma la importancia de la ciberseguridad, ya que las incursiones en sectores esenciales aumentaron un 43% en 2025. El sector energético, que es fundamental tanto por la cantidad de datos que almacena como para el correcto funcionamiento del país, sufrió casi el 9% de estas incidencias. “Ya no importa tanto la cantidad de incidentes, sino la gravedad y efectividad de estos”, explica Sancho Lerena, experto en gestión IT y seguridad y CEO de Pandora FMS. “Esto no es un caso aislado, es el síntoma de un patrón: demasiadas compañías siguen sin segmentar entornos, sin revisar accesos y sin saber quién tiene la llave de qué. La sorpresa no es que pase, sino que no pase más a menudo”, resalta.

“Este tipo de ciberataques reflejan que se necesitan estructuras de seguridad y gestión más férreas. Monitorizar el funcionamiento interno es fundamental para analizar la evolución de logs, comportamientos anómalos y situaciones que muestren el intento de acceso no autorizado”, destaca este experto. “Este tipo de ciberataques tienen diferentes objetivos. Robar datos para revenderlos es uno muy habitual en pleno auge del mercado negro. Pero también se busca robar para conseguir un rescate a cambio, o simplemente paralizar un sistema y generar caos y desconfianza. Este último punto es clave, sobre todo ahora donde la ciberseguridad y la geopolítica están tan unidos”, indica Lerena.

En España es muy habitual que la protección de las empresas se produzca externamente con un equipo al que no se conoce. “Nuestra posición es que hay sistemas y formaciones para que se tenga un equipo propio que se dedique a ello, sin tener que externalizar toda la protección para una respuesta más rápida y un conocimiento más detallado”, advierte.

La conclusión es que los operadores estratégicos “están más amenazados que nunca”. La monitorización de los sistemas e infraestructuras IT de las compañías es más importante todavía. Y la inversión en este tipo de áreas también porque además de la ciberseguridad de cara al usuario también cobra relevancia la propia protección de la información interna. Monitorizar proactivamente infraestructuras críticas es clave para detectar y mitigar ataques DDoS (denegación de servicio) en tiempo real, manteniendo la continuidad del servicio y reduciendo el impacto en los usuarios. 

“En España existen soluciones lo suficientemente potentes como para reducir este tipo de agresiones. Falta invertir en sistemas que generen estabilidad en las infraestructuras y en personal cualificado. Monitorizar los sistemas y tener una visión general de toda la infraestructura IT es fundamental. La tecnología permite ver si hay algún comportamiento inusual y así dar la oportunidad de anticiparse a un contagio masivo”, detalla Sancho Lerena. 

Además, la incorporación reciente de nuevas tecnologías como la inteligencia artificial mejoran aún más estos sistemas de control frente a ciberataques. “El ciberataque no sucede solo por un fallo de ciberseguridad, también por errores en la configuración o por propios huecos que deja la compañía en su infraestructura”, insiste Lerena. Los ciberataques sufridos por las grandes empresas españolas confirman lo que viene alertando: que deben aumentar su inversión y preparación para estas situaciones. La gestión de datos irá a más y la tensión geopolítica aumentará el riesgo de recibir este tipo de agresiones.

Por su parte, en la firma de ciberseguridad ESET avisan que “el riesgo no termina con la notificación de la brecha”. “La información expuesta puede ser reutilizada durante meses o incluso años, para lanzar fraudes, suplantaciones de identidad o ataques dirigidos que aprovechan la confianza de los clientes en la empresa afectada”.

El director de Investigación y Concienciación de ESET España, Josep Albors, señala que es clave que las posibles víctimas puedan “mantener la calma y actuar con criterio”, y adoptar una actitud proactiva para reducir al máximo el impacto, si es que finalmente se produce. Esto se traduce  mantenerse alerta ante comunicaciones sospechosas, desconfiar de los mensajes que digan proceder de la empresa afectada y que incluyan enlaces, archivos adjuntos o solicitudes urgentes. Ante la duda, contactar directamente con la compañía por sus canales oficiales. 

También hay que comprobar con frecuencia los perfiles online y las cuentas bancarias que aparecen en los contratos, para detectar movimientos, mensajes o acciones que no hayan realizado los usuarios. Servicios gratuitos como Have I Been Pwned permiten comprobar si un correo electrónico u otros datos han aparecido en brechas conocidas y ayudan a anticiparse a posibles ataques.

Aunque Endesa asegura que las contraseñas de los usuarios no se han visto afectadas, los expertos de ESET recomiendan cambiarlas igualmente, especialmente si llevan tiempo sin actualizarse. Y reforzarlas con un sistema multifactor, que evita que los ciberdelincuentes accedan a la cuenta incluso si han conseguido la contraseña.