¿Qué tan seguros están nuestros datos? El hack de Endesa y lo que las clientas y clientes de Mallorca deben saber ahora

¿Qué tan seguros están nuestros datos? El hack de Endesa y lo que las clientas y clientes de Mallorca deben saber ahora

Un ciberataque afecta al gran proveedor de energía de España: las respuestas, sin embargo, siguen siendo incompletas

Al principio llegó un mensaje desde la web oscura: un usuario llamado «Spain» ofrecía a la venta un gran conjunto de datos, supuestamente más de 20 millones de registros. Poco después Endesa confirmó que se produjo un incidente de seguridad en su plataforma comercial y que podrían verse afectadas datos de clientes de Energía XXI. En los cafés de Palma, por ejemplo en la Plaça Major o en Santa Catalina, hoy vi a gente mirando sus teléfonos y leyendo las advertencias de los proveedores: una imagen que traslada el tema del riesgo abstracto de TI al día a día, y casos locales como el robo de electricidad en Palma también alimentan esa sensación de vulnerabilidad.

Pregunta guía: ¿Qué tan bien protegidos están los datos personales de las residentes y residentes de la isla en las grandes empresas, y qué falta en la gestión de este tipo de incidentes?

Análisis crítico: La información conocida hasta ahora es concreta en algunos detalles y vaga en lo referente a responsabilidades. Según los datos disponibles, el conjunto incluye datos de identificación personal, datos de contacto, direcciones, números de documentos de identidad, información de IBAN, así como datos contractuales y de facturación. Endesa afirma que, hasta el momento, no hay indicios de uso indebido. Eso, por un lado, tranquiliza; por otro, la declaración por sí sola no es suficiente. La pregunta central sigue siendo: ¿qué sistemas fueron vulnerables, cuánto tiempo estuvo abierta la brecha y qué medidas internas fallaron? Casos previos de intrusión y manipulación interna, como el sabotaje en Son Llàtzer, ilustran riesgos de control de accesos y gestión interna.

El discurso público tiene lagunas: En conversaciones con personas de la administración y pequeñas empresas en Mallorca escucho a menudo las mismas preocupaciones: se conoce demasiado tarde qué datos están exactamente afectados; con poca frecuencia se explica cómo las consumidoras y consumidores pueden ejercer sus derechos. También falta el debate sobre la obligación de las grandes empresas de practicar el principio de minimización de datos. Si las empresas almacenan de forma permanente IBANs y números de documento, el riesgo aumenta de forma dramática, y las iniciativas de ciberprotección en Baleares deberían formar parte de esa discusión pública.

Una escena cotidiana: Ayer, camino al puerto de Palma, una mujer mayor estaba junto a un contador; su nieto le mostraba en el smartphone el correo de Endesa. Ella no entendía la mayor parte, pero estaba inquieta: «¿Mis datos bancarios? ¿Por qué los necesitan?» Encuentros así muestran que la información debe comunicarse de forma comprensible y local, no solo con fórmulas jurídicas en correos electrónicos en inglés; además, la desconfianza se ve alimentada por fallos en dispositivos de seguridad personales, tal y como recoge el reportaje Cuando el pitido falla: pulseras de protección en Mallorca.

Medidas concretas para las personas afectadas: 1) Mantener la calma, pero actuar: revisar los extractos bancarios de las últimas semanas y avisar al banco ante cargos inusuales. 2) Ser escéptico ante correos o mensajes sospechosos; nunca confirmar por correo electrónico datos personales extensos. 3) Considerar servicios de vigilancia de identidad y crédito o solicitar un bloqueo en el registro de crédito. 4) Reunir documentación: conservar correos y comunicaciones, ya que serán importantes para notificaciones a bancos o a la autoridad de protección de datos.

Medidas concretas para empresas y autoridades: 1) Transparencia total sobre el alcance y la naturaleza de los datos comprometidos: las clientas y clientes afectados deben ser informados de forma clara y regional. 2) Investigación forense por expertos independientes y publicación de un informe resumen. 3) Implementación inmediata de medidas técnicas: cifrado de datos en reposo, segmentación de datos de clientes, pruebas de penetración periódicas y principio estricto de minimización de datos. 4) Medidas regulatorias: la Agencia Española de Protección de Datos (AEPD) debería comprobar si se han respetado los plazos de notificación y si son necesarias sanciones o medidas correctoras. 5) Ampliar los servicios municipales de asesoramiento en Mallorca para que las personas mayores reciban ayuda comprensible.

Lo que echamos en falta: cifras concretas para nuestra isla. ¿Cuántas clientas y clientes de Energía XXI en Mallorca están afectados? ¿Qué códigos postales, qué tipos de contratos? Esa información local falta actualmente y es decisiva para que bancos, ayuntamientos y servicios sociales puedan informar de forma dirigida.

Una propuesta práctica para Palma: La administración municipal podría, en colaboración con protección al consumidor y bancos locales, ofrecer una línea telefónica y puntos de información en centros comunitarios —analógicos y digitales— para ayudar a personas que no entienden los correos o que no tienen acceso en línea. Una sencilla lista de comprobación en español, catalán y alemán reduciría muchas incertidumbres.

Conclusión contundente: fuga de datos sí, pánico no —pero mirar hacia otro lado sería un error. Endesa tiene la responsabilidad de aclarar sin fisuras y apoyar concretamente a las personas afectadas. Nosotros, como población insular, no debemos limitarnos a confiar en los comunicados empresariales: vigilemos nuestras cuentas, consultemos a bancos y a la AEPD en caso de dudas y exijamos apoyo local. Un ataque a registros digitales es un ataque a lo cotidiano y a la confianza; quien en Palma paga su factura en un puesto de la calle merece respuestas claras en lugar de tranquilizadores sin detalles.