El Instituto Nacional de Ciberseguridad (Incibe), a través de su Oficina de Seguridad del Internauta (OSI), ha lanzado este jueves una alerta de nivel alto (4 sobre 5) ante la detección de una campaña de correos maliciosos que simulan proceder de la compañía energética Endesa con el objetivo de sustraer credenciales bancarias y datos financieros.

Así funciona el fraude

Según la alerta, los ciberdelincuentes envían correos electrónicos con asuntos como “Factura vencida regularizar ahora mismo”, “No ignore este aviso sobre su factura” o “Bloqueo inminente: regularice su factura ahora”.

En ellos, se insta al usuario a descargar un archivo adjunto comprimido (.zip) que supuestamente contiene la factura de la luz.

Sin embargo, ese archivo contiene un troyano del tipo Metamorfo u Ousaban, especializado en robar credenciales bancarias.

El mensaje presenta ciertas señales sospechosas

El remitente no corresponde al dominio oficial de Endesa.

no corresponde al dominio oficial de Endesa. El texto del mensaje incluye frases incoherentes , por ejemplo: “La responsabilidad de las acciones posteriores incluso el pago, es de Su Señoría”.

, por ejemplo: “La responsabilidad de las acciones posteriores incluso el pago, es de Su Señoría”. Al hacer clic en el enlace, este redirige al sitio de la Agencia Tributaria, lo que sirve para dar apariencia de legitimidad al correo.

Estafa que suplanta a Endesa / Incibe

Recomendaciones para los usuarios

Ante la recepción de correos de estas características, la OSI recomienda:

Marcar el mensaje como spam o phishing , eliminarlo y reportarlo al buzón de incidentes del Incibe.

, eliminarlo y reportarlo al buzón de incidentes del Incibe. Si se descargó el archivo pero no se ejecutó: borrarlo también de la papelera.

también de la papelera. Recopilar pruebas (capturas de pantalla, encabezados del correo, remitente) para presentar denuncia ante las fuerzas y cuerpos de seguridad del Estado.

(capturas de pantalla, encabezados del correo, remitente) para presentar ante las fuerzas y cuerpos de seguridad del Estado. En caso de dudas sobre comunicaciones de compañías suministradoras, acudir a los canales oficiales: Endesa tiene una sección específica en su web dedicada a fraudes recientemente detectados.

¿Qué hacer si se ejecutó el archivo y se sospecha infección?

Desconectar el dispositivo de la red local (Wi-Fi, cable).

el dispositivo de la red local (Wi-Fi, cable). Ejecutar un análisis profundo con un antivirus actualizado.

actualizado. Si persiste la infección, considerar el formateo del equipo.

Casos similares recientes: un patrón al alza

Para hacerse una idea de la gravedad de esta alerta, aquí va una pequeña lista de otras campañas de suplantación (phishing) y fraudes relacionados con compañías de servicios públicos u organismos oficiales:

Suplantación al SEPE con malware Ousaban

En febrero de 2024, Incibe alertó de una campaña que simulaba provenir del Servicio Público de Empleo Estatal (SEPE).

En esos correos, se invitaba al usuario a descargar un archivo comprimido con supuesta información laboral, pero en realidad alojaba un ejecutable malicioso con el malware Ousaban, enfocado al robo de información financiera.

Fraudes telefónicos (vishing) contra clientes de compañías eléctricas

No sólo los correos son el medio elegido. La Guardia Civil ha advertido de estafas telefónicas en las que los delincuentes se hacen pasar por compañías eléctricas para exigir el pago inmediato de deudas ficticias, bajo amenaza de corte de suministro.

Un caso desarticulado en Madrid reveló que una organización reclamaba supuestas deudas y lograba un perjuicio económico de más de 100.000 euros, especialmente afectando a comercios.

Estafas presenciales: técnicos falsos de compañías eléctricas

Una red criminal operaba presencialmente, haciéndose pasar por técnicos de compañías eléctricas para entrar en domicilios de personas mayores.

Sustrían joyas, tarjetas bancarias y dinero en efectivo, incluso alegando que iban a “reparar interferencias” o “comprobar anomalías en el contador”.

Campañas de phishing contra compañías eléctricas

Además de estafas telefónicas, se han detectado varias campañas que suplantan a Endesa, alegando que el usuario tiene un reembolso pendiente (por ejemplo, 200 euros) y que debe acceder a la plataforma Mi Endesa mediante un enlace fraudulento que roba sus datos.

Expertos en ciberseguridad advierten de que este tipo de estafas contra clientes de Iberdrola, Naturgy o Endesa están “emergiendo” como modalidad frecuente.

Evolución del phishing: más sofisticado y peligroso

El phishing también ha evolucionado técnicamente. Por ejemplo, Kaspersky ha observado campañas híbridas que combinan spear phishing (mensajes dirigidos) y phishing masivo.

En algunos casos los correos falsos parecen provenir del nombre de un dominio corporativo real (ghost spoofing) aunque el enlace apunte a páginas fraudulentas.

Además, el informe de Europol señala que el phishing es una amenaza creciente: en España se registraron en 2023 cerca de 14.261 casos, lo que equivale a un promedio de 40 estafas digitales diarias.

La clave: ser cauto y, ante la duda, sospechar

La alerta reciente del Incibe contra suplantaciones de Endesa se enmarca en un contexto más amplio: los ciberdelincuentes están adaptando sus métodos, combinando ingeniería social, técnicas avanzadas de phishing y amenazas múltiples (correo, teléfono, presencia física) para obtener datos bancarios, información personal y cometer fraudes de todo tipo.

Este tipo de estafas no sólo representa un riesgo directo para las cuentas de los usuarios, sino que también pone de manifiesto la necesidad de fortalecer la cultura de ciberseguridad entre la población: verificar siempre remitentes, desconfiar de mensajes urgentes, informarse por canales oficiales, y actuar con prudencia ante cualquier comunicación inesperada.