El ciberataque que nunca debió ocurrir

Endesa nunca debería haber sufrido un ciberataque. Igual que no debería sufrirlo ningún hospital, ningún banco ni ninguna empresa que custodia datos críticos de millones de ciudadanos.

Y no porque los ataques no existan —existen, y cada vez son más sofisticados—, sino porque hay organizaciones que, por su tamaño, su poder económico y su papel estratégico, tienen la obligación de convertir la ciberseguridad en una prioridad absoluta. Capaces de repelerlos. 

Cuando una empresa como Endesa es vulnerada y se filtran millones de documentos con datos personales de clientes —DNI, correos electrónicos, números de cuenta—, no estamos ante un problema técnico. Estamos ante un fallo de responsabilidad.

Porque esos datos no son abstractos. No son “registros”. Son personas. Son jubilados que dentro de unos días recibirán una llamada falsa sobre una factura impagada. Son familias que caerán en un fraude porque alguien sabe exactamente cómo se llaman, dónde viven y con qué compañía tienen contratada la luz. Son ciudadanos que verán cómo su identidad circula por mercados criminales invisibles, revendida una y otra vez como mercancía.

Y todo eso no ocurre por mala suerte. Ocurre porque las grandes empresas siguen teniendo brechas, vacíos y sistemas insuficientemente protegidos en un contexto en el que el ataque digital ya no es una hipótesis o algo puntual, sino una realidad cada vez más habitual. 

Nos han repetido durante años que debemos ser prudentes como usuarios. Que no hagamos clic en enlaces sospechosos. Que desconfiemos de correos extraños. Que no demos nuestros datos...

Y es verdad: la educación digital es necesaria y urgente. Pero hay una diferencia esencial entre caer en una estafa por engaño y que tus datos salgan directamente del corazón del sistema que debía protegerlos.

Eso no es un descuido del cliente, un engaño bien jugado del estafador. Eso es una quiebra del guardián.

Y lo más inquietante es la sensación de indefensión que deja detrás. Porque si las grandes corporaciones, con recursos millonarios y equipos técnicos especializados, no consiguen proteger sus sistemas, ¿qué margen real de protección le queda al ciudadano corriente?

Por supuesto que la respuesta no puede ser el fatalismo. Como tampoco puede ser asumir que “esto pasa” y seguir adelante como si fuera una tormenta inevitable. No lo es. Es el resultado de decisiones: de cuánto se invierte en seguridad, de cómo se prioriza, de si se considera un gasto molesto o una infraestructura esencial. 

Las empresas que gestionan datos personales deberían tratarlos con más celo que cualquier otro activo. Más que el beneficio trimestral. Más que la reputación de marca. Más incluso que el propio producto que venden. Porque esos datos son la extensión digital de la vida de millones de personas.

Y cuando esa fortaleza cae, no cae solo un sistema informático. Cae la confianza. Y esa es mucho más difícil de restaurar que cualquier servidor.