Las Claves #Endesa

Más de 8 millones de usuarios de todo el mundo se han visto afectados por un ciberataque poco usual que ha afectado a los principales navegadores: Chrome, Edge, y Mozilla. El autor ha sido el grupo DarkSpectre, y según la firma Koi.ai, ha sido una campaña de malware muy compleja que se ha extendido durante 7 años y que utilizaba extensiones en los navegadores para infectar los dispositivos.

El ciberataque se ha detectado tras el análisis de Koi Security de una infraestructura llamada ShadyPanda. Posteriormente, se pudo comprobar cómo el grupo lanzaba diferentes extensiones infectadas para obtener datos tanto de usuarios individuales como de usuarios empresariales. Y, además, con gran atención a plataformas de conferencias donde se suelen producir las reuniones corporativas de las compañías. 

La gravedad de este malware oculto no solo refleja la debilidad de la estructura de ciberseguridad, sino también la falta de independencia europea en lo que respecta a plataformas de uso masivo, en su mayoría de raíz extranjera. “En Europa no tenemos ningún navegador popular entre los usuarios. Y, cuando suceden cosas como éstas, dependemos de la seguridad y de las alertas de plataformas extranjeras”, explica Sancho Lerena, CEO de la tecnológica española Pandora FMS y experto en seguridad y gestión IT. 

“El problema no es una extensión maliciosa concreta, sino la concentración de demasiadas capas críticas en una sola plataforma. Venimos advirtiendo desde hace tiempo. Los usuarios europeos solo utilizan plataformas extranjeras porque no le damos ninguna alternativa. Y algo parecido pasa con las empresas, que todas se apoyan en sistemas norteamericanos dependiendo absolutamente de su buen funcionamiento y servicio”, detalla este especialista. 

“Cuando pasan cosas como éstas, se ve la importancia de que haya alternativas. Todos los usuarios utilizan la misma plataforma y, cuando se cae, no hay ninguna otra posibilidad. Es una dependencia absoluta”, insiste.

Según comenta Lerena, sigue sin haber una estrategia clara en Europa para promover la conocida como soberanía IT. Una estrategia que debería dar prioridad a empresas europeas frente a norteamericanas, así como apoyar el desarrollo de proyectos IT que sitúen a Europa como una referencia. “Es clave porque, al ser empresas extranjeras, hay una mayor dificultad para auditar y controlar capas como navegadores, extensiones, ecosistemas…”, explica.

“Esta dependencia no es coyuntural ni fruto de un incidente aislado; es estructural. Europa consume plataformas digitales que no controla ni puede auditar de extremo a extremo”, subraya Sancho Lerena. Este último ciberataque no tendrá consecuencias en cuanto a uso de los navegadores. Pero sí que refleja la falta de alternativas y la debilidad que supone depender de un único suministrador y, además, extranjero.

Acceso a datos de 16 millones de clientes de PcComponentes

Además, u posible ciberataque habría afectado a la empresa de eCommerce tecnológico más importante de España: PcComponentes. Según portales especializados en brechas de seguridad como HackManac, el alias ‘daghetiaw’ ha filtrado que cuenta con datos de más de 16 millones de clientes. Entre ellos se encontrarían los DNI, pedidos, facturas, contactos y metadatos de tarjetas de crédito. La compañía no se ha pronunciado oficialmente por el momento, pero en caso de que el ciberataque hubiera resultado efectivo, sería uno de los mayores golpes al sector del eCommerce en España por la relevancia de la empresa.

Según expertos en ciberseguridad, “lo crítico no es solo cuantos datos se han filtrado, sino su naturaleza”. Sancho Lerena alerta que “la información supuestamente filtrada permitiría construir una identidad falsa con total apariencia legítima”. “Cuando se filtran facturas, tickets de soporte y datos personales a la vez, ya no hablamos de un ataque, hablamos de una pérdida total de soberanía digital”, advierte.

Esto supone una pérdida total del control de la huella digital, abriendo la posibilidad de suplantación de identidad y de un alto riesgo de fraude por suplantación de productor y de contratación de servicios sin consentimiento.

Este posible ciberataque se sumaría al recientemente sufrido y confirmado por Endesa, lo que refleja la variedad de sectores afectados y la importancia que tiene para los ciberdelincuentes la información personal de la población. 

“España no puede permitirse que su mayor eCommerce tecnológico gestione datos sensibles sin blindajes adecuados”, remarca Lerena. Para este experto, “no es un error puntual, sino un síntoma de cómo se diseña y se opera en España”. Lerena remarca que la experiencia y los últimos incidentes de estas características en las compañías españolas -y muchas también europeas- muestran que se trabaja “sin visión de largo plazo, sin planes de contingencia y sin supervisión real”. Entre los principales riesgos que detecta el experto en caso de que el ciberataque anunciado por el agresor fuera real, están la suplantación de identidad y fraude financiero, la explosión de ataques de phishing dirigidos con información verificada, y la pérdida de confianza masiva en la seguridad digital del retail español.

Endesa Energía ha reconocido "un acceso no autorizado e ilegítimo" a su plataforma comercial a principios de año que ha resultado en la extracción de datos de los clientes relacionados con sus contratos de luz y de gas, incluidos el documento de identidad y los medios de pago. 

El grupo de ciberdelincuentes, que ha superado las medidas de seguridad implementadas por la empresa en su plataforma comercial, “habría tenido acceso y podría haber exfiltrado” datos de contacto, documentos de identidad y el IBAN de la cuenta bancaria. Endesa Energía asegura que no se han visto afectadas las contraseñas de acceso.

Aunque por el momento no ha detectado un uso indebido de los datos robados, la empresa avisa que los ciberdelincuentes pueden intentar usurpar o suplantar la identidad de los clientes, publicar los datos en foros digitales en la dark web o utilizarlos para enviar correos o mensajes fraudulentos dentro de campañas de phishing y de spam.

De momento, el grupo que presume ser el autor del ciberataque desvela detalles sobre éste en un foro de la dark web el domingo 4 de enero, como que se ha hecho con más de 1 TB de información que afecta a más de 20 millones de personas: "Hay datos personales, como nombres y apellidos, datos de contacto, dirección postal, y relación cuenta-persona; datos financieros, como IBAN, datos de facturación e historial de cuentas y cambios; datos energéticos, como el identificador único de punto de suministro o CUPS, contratos activos de luz y gas, datos del punto de suministro y datos regulatorios, como Listas Robinson, cuentas exentas e historial de incidencias”.

La empresa considera “improbable” que este robo “se materialice en una afectación de alto riesgo para sus derechos y libertades”, aunque recomienda a los clientes que estén atentos a “posibles comunicaciones sospechosas que pudiera recibir en los próximos días” y les insta a comunicar cualquier acción sospechosa en el número de teléfono: 800 760 366.

Nada más conocer el incidente, Endesa Energía también ha activado los protocolos y procedimientos de seguridad establecidos para estos casos, así como “todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro”.

Falta inversión en ciberseguridad y en personal cualificado

Para la firma tecnológica española Pandora FMS, el ciberataque a Endesa refleja el valor que tienen las empresas energéticas y reafirma la importancia de la ciberseguridad, ya que las incursiones en sectores esenciales aumentaron un 43% en 2025. El sector energético, que es fundamental tanto por la cantidad de datos que almacena como para el correcto funcionamiento del país, sufrió casi el 9% de estas incidencias. “Ya no importa tanto la cantidad de incidentes, sino la gravedad y efectividad de estos”, explica Sancho Lerena, experto en gestión IT y seguridad y CEO de Pandora FMS. “Esto no es un caso aislado, es el síntoma de un patrón: demasiadas compañías siguen sin segmentar entornos, sin revisar accesos y sin saber quién tiene la llave de qué. La sorpresa no es que pase, sino que no pase más a menudo”, resalta.

“Este tipo de ciberataques reflejan que se necesitan estructuras de seguridad y gestión más férreas. Monitorizar el funcionamiento interno es fundamental para analizar la evolución de logs, comportamientos anómalos y situaciones que muestren el intento de acceso no autorizado”, destaca este experto. “Este tipo de ciberataques tienen diferentes objetivos. Robar datos para revenderlos es uno muy habitual en pleno auge del mercado negro. Pero también se busca robar para conseguir un rescate a cambio, o simplemente paralizar un sistema y generar caos y desconfianza. Este último punto es clave, sobre todo ahora donde la ciberseguridad y la geopolítica están tan unidos”, indica Lerena.

En España es muy habitual que la protección de las empresas se produzca externamente con un equipo al que no se conoce. “Nuestra posición es que hay sistemas y formaciones para que se tenga un equipo propio que se dedique a ello, sin tener que externalizar toda la protección para una respuesta más rápida y un conocimiento más detallado”, advierte.

La conclusión es que los operadores estratégicos “están más amenazados que nunca”. La monitorización de los sistemas e infraestructuras IT de las compañías es más importante todavía. Y la inversión en este tipo de áreas también porque además de la ciberseguridad de cara al usuario también cobra relevancia la propia protección de la información interna. Monitorizar proactivamente infraestructuras críticas es clave para detectar y mitigar ataques DDoS (denegación de servicio) en tiempo real, manteniendo la continuidad del servicio y reduciendo el impacto en los usuarios. 

“En España existen soluciones lo suficientemente potentes como para reducir este tipo de agresiones. Falta invertir en sistemas que generen estabilidad en las infraestructuras y en personal cualificado. Monitorizar los sistemas y tener una visión general de toda la infraestructura IT es fundamental. La tecnología permite ver si hay algún comportamiento inusual y así dar la oportunidad de anticiparse a un contagio masivo”, detalla Sancho Lerena. 

Además, la incorporación reciente de nuevas tecnologías como la inteligencia artificial mejoran aún más estos sistemas de control frente a ciberataques. “El ciberataque no sucede solo por un fallo de ciberseguridad, también por errores en la configuración o por propios huecos que deja la compañía en su infraestructura”, insiste Lerena. Los ciberataques sufridos por las grandes empresas españolas confirman lo que viene alertando: que deben aumentar su inversión y preparación para estas situaciones. La gestión de datos irá a más y la tensión geopolítica aumentará el riesgo de recibir este tipo de agresiones.

Por su parte, en la firma de ciberseguridad ESET avisan que “el riesgo no termina con la notificación de la brecha”. “La información expuesta puede ser reutilizada durante meses o incluso años, para lanzar fraudes, suplantaciones de identidad o ataques dirigidos que aprovechan la confianza de los clientes en la empresa afectada”.

El director de Investigación y Concienciación de ESET España, Josep Albors, señala que es clave que las posibles víctimas puedan “mantener la calma y actuar con criterio”, y adoptar una actitud proactiva para reducir al máximo el impacto, si es que finalmente se produce. Esto se traduce  mantenerse alerta ante comunicaciones sospechosas, desconfiar de los mensajes que digan proceder de la empresa afectada y que incluyan enlaces, archivos adjuntos o solicitudes urgentes. Ante la duda, contactar directamente con la compañía por sus canales oficiales. 

También hay que comprobar con frecuencia los perfiles online y las cuentas bancarias que aparecen en los contratos, para detectar movimientos, mensajes o acciones que no hayan realizado los usuarios. Servicios gratuitos como Have I Been Pwned permiten comprobar si un correo electrónico u otros datos han aparecido en brechas conocidas y ayudan a anticiparse a posibles ataques.

Aunque Endesa asegura que las contraseñas de los usuarios no se han visto afectadas, los expertos de ESET recomiendan cambiarlas igualmente, especialmente si llevan tiempo sin actualizarse. Y reforzarlas con un sistema multifactor, que evita que los ciberdelincuentes accedan a la cuenta incluso si han conseguido la contraseña.