La diferencia entre un ciberataque que hace ruido y otro que te cambia la vida es sencilla: el primero paraliza una empresa; el segundo te convierte a ti en el objetivo de los delincuentes. Por eso, con la información disponible, sostengo que lo de Endesa es más grave que lo de Telefónica en 2017 y más preocupante que lo del Santander, en 2024.
Imagina una llamada cualquiera de alguien que te dice tu nombre y apellidos, tu DNI, tu dirección, el número de tu contrato, incluso tu punto de suministro. Te habla con la seguridad de quien “ya lo sabe todo” y solo necesita “confirmar un dato” para “evitar un corte” o “regularizar una incidencia”. Y lo remata con unos números de cuenta bancaria que, efectivamente, corresponden a tu IBAN. En ese momento la contraseña da igual. La pantalla de inicio de sesión es un decorado: el ataque real ocurre en la conversación. Eso es lo que hace distinto -y más grave- el caso Endesa: la combinación de identidad civil, identidad financiera e identidad del suministro en un paquete listo para la suplantación y el fraude. Cosas que, además no podemos cambiar, como sí podemos hacer con la contraseña.
En Telefónica, con WannaCry, el país vivió un incendio. Fue serio, fue aparatoso, obligó a parar, apagar, reinstalar, recuperar. Pero era, sobre todo, un golpe a lo que en ciberseguridad llamamos disponibilidad: el resultado fueron sistemas inutilizados, operaciones dañadas y una urgencia evidente. Tenía un “final” claro: cuando vuelves a levantar los equipos y aplicas medidas, el episodio se cierra. En Endesa el daño es silencioso y, lo peor, no caduca: cuando se filtran datos masivos de clientes no hablamos de una semana mala; hablamos de años de riesgo porque lo robado no se puede devolver.
El incidente del Santander en 2024 fue grave y además internacional, pero el banco sostuvo -y el análisis técnico lo refuerza- que no se comprometieron credenciales operativas de banca online ni mecanismos que permitieran mover dinero directamente desde la cuenta del cliente. En términos prácticos, muchas piezas críticas se pueden rotar: una tarjeta se cancela, un acceso se refuerza, un segundo factor se impone. En Endesa, en cambio, el dato financiero expuesto es el IBAN, que no es un “secreto” en sentido clásico, pero sí un identificador persistente y costoso de cambiar para el ciudadano. Y cuando ese IBAN viaja pegado al DNI y a datos contractuales, el fraude deja de ser hipotético y pasa a ser escalable.
Hay otra capa a nivel de ciberseguridad, la de Endesa no es una aplicación más. Es energía, y la energía es infraestructura esencial. Aunque no se haya reportado interrupción del suministro, el impacto social de una brecha masiva en un operador de este tipo es distinto: la confianza no se mide sólo en continuidad del servicio, sino en cómo se protegen millones de identidades vinculadas a un bien básico. Y si además en los datos aparecen señales de vulnerabilidad -como el bono social-, el riesgo se desplaza hacia quienes menos margen tienen para defenderse de una estafa bien diseñada.
Con el hackeo de Endesa hemos cambiado de era: si antes temíamos el “apagón” digital, ahora debemos temer el “goteo” humano: un mercado de datos que alimenta engaños perfectos. No es un problema de Endesa, Telefónica o Santander; es un problema de país: seguimos usando datos estáticos como prueba de identidad en demasiados procesos. Y cuando esos datos se filtran a escala, el ciudadano se queda sin palancas. La ciberseguridad, en 2026, ya no es una discusión de tecnología: es una discusión de derechos, de economía doméstica y de confianza en los servicios que sostienen la vida diaria.
