El supuesto correo de Endesa que te avisa de un reembolso pendiente es una estafa

El supuesto «reembolso» se trata de una estafa habitual en la que se hacen pasar por Endesa con el objetivo de redirigirte a un portal falso para obtener tus datos bancarios y personales.


¿Qué se ha dicho?

Un supuesto correo de Endesa te avisa de que tienes pendiente «un reembolso» de 300 euros.

¿Qué sabemos?

Es una estafa para obtener tus datos bancarios y personales.

Nos habéis hecho llegar a través de nuestro servicio de consultas de WhatsApp un supuesto correo de la compañía Endesa que asegura que, "después de los últimos cálculos", han detectado que tienes "un reembolso" pendiente de 300 euros. A continuación, te invita a acceder a un enlace y facilitar los datos de acceso a tu cuenta personal de Endesa y de tu tarjeta de crédito "para confirmar" la devolución. 

Es FALSO. El supuesto "reembolso" se trata de una estafa habitual en la que se hacen pasar por Endesa con el objetivo de redirigirte a un portal falso para obtener tus datos bancarios y personales, tal y como advierte la propia compañía en su página web oficial. Ante cualquier duda sobre la veracidad de un correo, la empresa recomienda contactar con ella a través de sus canales de atención al cliente.

El Instituto Nacional de Ciberseguridad de España (INCIBE) también alertó de estafas muy similares en 2018 y 2019 con la diferencia de que, en estos casos, los ciberdelincuentes usaban como cebo que una misma factura había sido cobrada dos veces. El INCIBE publica periódicamente en su web avisos sobre nuevos casos de estafas, rumores falsos y alertas relacionadas con la ciberseguridad.

"¡Bienvenido a Mi Endesa! Después de los últimos cálculos notamos que tenía un reembolso de Endesa. […] Para confirmar su reembolso haga clic aquí y simplemente siga los pasos."

¿Cómo actuar?

Si has recibido este correo, "pero no has facilitado información, márcalo como correo basura y bórralo de tu bandeja de entrada", recomienda el INCIBE en estos casos.

Sin embargo, si has introducido los datos de tu tarjeta de crédito, el Instituto Nacional de Ciberseguridad aconseja contactar con tu entidad bancaria lo antes posible y ponerla al corriente de la situación "para tomar las medidas necesarias, como la cancelación de la tarjeta introducida".

El instituto también recomienda revisar "regularmente los movimientos de tu cuenta para cancelar posibles cargos no autorizados" y recopilar "evidencias del fraude, guardando correos y capturas de pantalla del proceso" para denunciar los hechos ante las fuerzas de seguridad.

Además, según el INCIBE, otra pauta a seguir es la de realizar egosurfing, es decir, utilizar las redes sociales y los buscadores como Google "para comprobar si se han expuesto tus datos personales o bancarios y solicitar su eliminación mediante la supresión al olvido, siguiendo el proceso que proporciona la Agencia Española de Protección de Datos (AEPD)".

Los errores ortográficos o el enlace, pistas para detectar un caso de phishing

El llamado phishing es una técnica fraudulenta con la que se pretende captar datos privados, como contraseñas o información bancaria, mediante el envío de correos electrónicos suplantando la identidad de un contacto de confianza, como puede ser nuestro banco, nuestra compañía de la luz o una administración pública.

Un indicio habitual para identificar que estamos ante un caso de phishing son las faltas de ortografía o errores en el formato. Por ejemplo, en este caso, el mensaje contiene la palabra "endesa" sin mayúscula y, en la misma oración, el punto final está separado de la última palabra ("reembolso de endesa .").

También nos podemos fijar en cuál es la dirección electrónica que nos ha enviado el correo o en cuál es el enlace al que nos redirige el mensaje. En este caso, la URL a la que nos dice que debemos acceder para cobrar el supuesto reembolso no corresponde a la dirección de la web oficial de Endesa (www.endesa.com).

Asimismo, debemos tener en cuenta que no es muy habitual que las empresas nos pidan información personal a través de un mensaje de texto o un correo electrónico y, si lo hacen, no lo harán nunca a través de un proveedor o webs de terceros.