“Todos somos víctimas potenciales”: cómo detectar y defenderse de las estafas comerciales

Llamadas que se hacen pasar por tu compañía, descuentos “irresistibles”, amenazas veladas de corte de suministro y enlaces que acaban cambiándote de comercializadora sin que te enteres. Carlos Ródenas, responsable de Transformación, Procesos y Ciberseguridad de Endesa, disecciona la ingeniería social que hay detrás del phishing.

“Lamentablemente, todos somos víctimas potenciales. Todos hemos vivido un intento de estafa o lo viviremos en los próximos meses”. Así de claro lo resume Carlos Ródenas, responsable de Transformación, Procesos y Ciberseguridad de Endesa, tras años analizando cómo operan los estafadores que se hacen pasar por otros para robar datos, cambiar contratos sin permiso o forzar pagos ‘urgentes’ que nunca deberían haberse realizado.

Y es que los intentos de estafa se multiplican en todos los sectores, desde el energético al bancario, los seguros… se hacen más sofisticados, más creíbles y, por tanto, más peligrosos. Según la Global Anti-Scam Alliance, las estafas digitales provocaron en España pérdidas de más de 7.400 millones de euros en 2024, y uno de cada seis ciudadanos recibió al menos un intento de fraude.

La escena se repite con pequeñas variaciones: suena el teléfono, una voz amable se presenta en nombre de una gran eléctrica, habla de una subida de tarifas, de un correo que “seguro que no has visto” y de un descuento al que solo accederás si aceptas en ese momento. “Hoy mismo acabo de recibir hace unas horas una llamada, este mismo día, y básicamente obedece al primer tipo: es un intento de cambio de comercializadora”, cuenta Ródenas. Lo que pretenden estos estafadores es una decisión rápida que derive en un cambio muchas veces poco consciente.

Y esto no es un susto aislado ni un despiste puntual. En un mercado con más de cuatrocientas comercializadoras y donde en un solo año más del veinticuatro por ciento de los clientes cambia de compañía, la CNMC calcula que casi el siete por ciento de esos movimientos presenta irregularidades o carece de un consentimiento claro. El canal estrella del engaño es el teléfono, pero ya se combinan correos, SMS, códigos QR y hasta guiones escritos con ayuda de inteligencia artificial para construir relatos cada vez más creíbles. Para Ródenas, el mensaje de fondo es inequívoco: todos somos víctimas potenciales de intentos de estafa y conviene llegar prevenidos a esa llamada que puede sonar cualquier tarde. En un entorno en el que pagamos facturas y gestionamos contratos desde el móvil, esos mismos canales se han convertido también en la puerta de entrada de muchos intentos de fraude.

Detrás de esa escena hay algo más que un simple truco comercial. Ródenas recuerda que el término phishing lleva más de tres décadas circulando, desde los primeros intentos de robar contraseñas de acceso a internet en los noventa, pero que hoy el guion se ha refinado hasta convertirse en un relato altamente personalizado. En ese ecosistema aparecen los apellidos del fraude. Phishing es el intento de engaño a través del correo electrónico o de páginas web falsas que imitan a las originales para robar contraseñas o datos bancarios. Cuando el gancho llega por teléfono y la estafa se apoya en una conversación de voz, hablamos de vishing. Si el canal elegido es un SMS o un mensaje corto con un enlace que invita a ‘regularizar’ una supuesta deuda o activar una oferta limitada, el término es smishing.

Cambia el canal, pero la lógica es la misma: suplantar a una empresa de confianza, ganar credibilidad en segundos y forzar una reacción rápida antes de que la víctima pueda parar a pensarlo. El experto en seguridad lo llama ingeniería social: un trabajo fino para modificar nuestro comportamiento y lograr que hagamos, en caliente, lo que en frío no haríamos. El relato se construye con datos reales, tono coloquial y un elemento que se repite siempre: la prisa. “Utilizan la urgencia para que el ser humano actúe de una manera rápida sin pensarlo mucho”, explica.

En ese guion, la confusión entre figuras del sector juega a favor del estafador. Muchos clientes no distinguen bien entre distribuidora y comercializadora, y ahí se cuela el fraude. “La comercializadora es la empresa que tiene el contrato con el cliente final”, recuerda. La distribuidora, en cambio, solo se encarga de que la energía llegue físicamente al edificio o punto de consumo. “Nuestros clientes siempre se tienen que dirigir e interactuar con la empresa comercializadora, nunca con la distribuidora”, insiste. Ródenas recuerda, además, una norma sencilla: las comercializadoras nunca solicitan datos personales ni bancarios de manera proactiva. Solo los piden cuando es el propio cliente quien ha solicitado una modificación de un contrato existente o el alta de un contrato nuevo. Si en la llamada se menciona a la distribuidora y, al mismo tiempo, se habla de contratos o de tarifas, mejor desconfiar y cortar.

¿Y qué buscan exactamente quienes están al otro lado del teléfono o del enlace? Endesa identifica cinco grandes líneas de fraude: desde el cambio de comercializadora sin consentimiento, por el que el intermediario cobra una comisión, hasta la suplantación de identidad y la venta de datos a terceros, pasando por las compras en internet con tarjetas robadas o los pagos ‘urgentes’ para evitar un supuesto corte de suministro o regularizar una deuda inexistente. Todas comparten la misma base: manipulación psicológica y un objetivo económico claro.

Para defenderse, Ródenas propone pensar en tres momentos con consejos que valen para estafas en cualquier sector, ya sea el energético, la banca o las telecomunicaciones. Antes de la llamada, información y prevención: saber que estas prácticas existen y cómo operan. Durante el contacto, máxima precaución. “Tenemos que ser precavidos y, para poder ser precavidos, proponemos actuar con cautela, encender nuestro sistema de alerta”, resume. “La mejor respuesta ante una llamada sospechosa es una pregunta”, añade: quién llama, en nombre de qué empresa, si es distribuidora o comercializadora, cómo han conseguido nuestros datos. Y, si algo no encaja, cortar la conversación y acudir a los canales oficiales.

Si el daño ya está hecho, entra en juego la tercera etapa: actuar rápido. “No nos pongamos nerviosos, pero no nos crucemos de brazos”, aconseja. Primero, contactar con el banco si se han compartido datos financieros. Después, acudir a la comercializadora de origen usando los teléfonos y direcciones que figuran en la última factura, no los que puedan aparecer en buscadores. Y, una vez confirmado el fraude, valorar la denuncia ante Policía Nacional, Guardia Civil o la Oficina de Seguridad del Internauta, conservando siempre el número desde el que se recibió la llamada.

Del lado de la compañía, Endesa ha puesto en marcha un paquete amplio de medidas: protección de sus sistemas, colaboración con fuerzas de seguridad y reguladores, y más de veinte iniciativas comerciales y de comunicación, desde artículos y campañas en redes hasta avisos en factura y contenidos específicos en la revista ON. La pieza más visible es el buscador de teléfonos en su web, en la sección “Comprueba quién te ha llamado”, que permite verificar en segundos si un número es realmente de Endesa. En sus dos primeros meses de vida, se comprobaron 140.000 números, de los cuales un abrumador 91,7 por ciento eran no confiables, lo que da una idea de la magnitud del problema. “Nuestro mejor activo son nuestros clientes; por tanto, tenemos que proteger su información y adelantarnos a la forma de proceder de los ciberdelincuentes”, concluye Carlos Ródenas.

El desafío, advierte Ródenas, crecerá con la evolución tecnológica. “Vamos a ver relatos cada vez más creíbles. Las interacciones y las comunicaciones que vamos a tener van a ser más reales”, anticipa. Correos impecables, voces sintéticas, mensajes cada vez más afinados harán más difícil distinguir entre realidad y engaño. Su receta, sin embargo, es sencilla: “Tenemos que estar preparados y dudar”. No se trata de vivir con miedo, concluye, sino de combinar cautela, canales oficiales y una idea grabada a fuego: si algo suena demasiado urgente o demasiado ventajoso, merece la pena parar, respirar… y comprobarlo dos veces.