El origen: alguien perdió tus datos
En diciembre de 2025, un actor conocido en foros de cibercrimen afirmó poseer la base de datos de clientes de Endesa. Según admitió la compañía, la brecha expuso contactos, DNI, números IBAN y detalles de contratos. Iberdrola sufrió un incidente similar anteriormente, con 850.000 clientes comprometidos.
Esas bases de datos no desaparecen: se venden, se comparten y se reutilizan. Alguien las compra y orquesta una campaña: primero un correo, luego llamadas de seguimiento con notas de urgencia para que no pienses demasiado. Es el phishing más efectivo posible porque saben quién eres.
El fallo aquí no es del usuario. Los datos estaban en manos de empresas con la obligación legal de protegerlos. La AEPD multó a Iberdrola con 6,5 millones de euros por su brecha, y Endesa se enfrenta a expedientes similares. Sin embargo, para estas corporaciones, las multas suelen ser un mero coste operativo; las consecuencias reales las sufre el usuario.
Vectores específicos: el código CUPS
Más allá del phishing clásico que te muestra una web falsa y pide "introduce tus credenciales aquí", en el sector energético existe un vector crítico: el código CUPS. Es el identificador único de tu punto de suministro y, con él, es posible tramitar un cambio de comercializadora sin tu consentimiento explícito. Si en una llamada te piden este dato: desconfía. No lo facilites.
Buenas prácticas
Las medidas de seguridad digital son las de siempre, pero hoy son más críticas que nunca: No facilitar datos por teléfono a quien te llama (aunque parezca que ya los tiene). Verificar gestiones llamando nosotros a un número oficial obtenido de una fuente legítima. Desconfiar de dominios sospechosos. Por ejemplo,
clientes@clientesiberdrola.es parecería un email correcto, y sin embargo aparece en internet denunciado como ilegítimo. Dos tipos de filtración, dos tipos de ataque
Conviene distinguir entre dos categorías de brecha que a menudo se confunden: Filtraciones de datos personales: (Como las de las energéticas que hemos citado). Incluyen nombre, teléfono o IBAN pero no contraseñas. Permiten ataques de ingeniería social, no técnicos. El atacante intenta engañarte a ti, no al sistema. Filtraciones de autenticación: lo que se roba es la base de datos donde se almacenan las credenciales. Esto ocurre en brechas de foros, tiendas online o servicios web. Aquí el vector es distinto: entran en juego los diccionarios, la fuerza bruta y el leetspeak.
Cómo funciona el ataque sobre contraseñas "hasheadas"
Si un hacker pretende entrar en tu cuenta, intentando adivinar tu contraseña, el ataque no se lanza contra el servidor web (que te bloquearía al tercer intento), sino offline. El atacante obtiene ilegítimamente de una filtración el fichero de hashes y lo procesa en su propio hardware, sin límites.
Efectivamente, cuando una base de datos de autenticación se filtra, lo que contiene, si su administrador tuvo un mínimo de competencia, no es tu contraseña en texto plano, sino su hash: el resultado de aplicar a tu contraseña una función matemática ($SHA1$, $bcrypt$, $Argon2$...) que genera una huella irreversible. Aquí es donde la mayoría de los usuarios -y muchas empresas- cometen el error de subestimar al enemigo.
Las cifras son, sencillamente, aterradoras. Los programas actuales no dependen de la potencia de la CPU, sino que emplean GPUs de última generación. Mientras que un procesador central tiene apenas unos cuantos núcleos, una tarjeta gráfica moderna como la RTX 5090 posee más de 21.000 núcleos CUDA diseñados para el cálculo paralelo masivo.Para que te hagas una idea de la escala en un ataque de fuerza bruta: si hablamos de contraseñas encriptadas con MD5 (popular hace ya unos años, hoy obsoleto) una sola RTX 5090 puede alcanzar velocidades de 220 GH/s (220.000 millones de hashes por segundo). El resultado: Una contraseña de 8 caracteres aleatorios (minúsculas y números) puede ser reventada en menos de 5 segundos. Si es puramente numérica, el tiempo es prácticamente instantáneo.
Ante esta realidad, actualmente se acude al uso de algoritmos "lentos" como bcrypt o Argon2. A diferencia de MD5, estos algoritmos están diseñados para ser costosos computacionalmente. Esa misma RTX 5090 que procesa miles de millones de MD5, solo puede procesar unos pocos miles de hashes de bcrypt por segundo. La lentitud aquí es una característica de seguridad: eleva el coste energético y temporal del atacante de segundos a meses.
El mito del "Leetspeak"
Muchos entusiastas creen que usar
murc13lag0 (sustituyendo letras por números) es una medida brillante. No lo es. Las herramientas de ataque como hashcat incluyen reglas de mutación automática. El software no "adivina", simplemente aplica máscaras: sabe que la e puede ser 3 y la a un 4. Esa variante ya está en su diccionario antes siquiera de que empieces a teclearla.La defensa real: longitud y aleatoriedad
Lo que sí funciona es elevar el coste computacional. No es una cuestión de ingenio, es una cuestión de espacio de búsqueda. 8 caracteres complejos (mayúsculas, minúsculas, números y símbolos) pueden caer en cuestión de horas o días ante un cluster de GPUs. 14 caracteres aleatorios disparan el tiempo de crackeo a siglos, incluso con el hardware más potente de 2026. La longitud es el único factor que escala de forma exponencial contra la potencia del atacante.
Si no puedes usar un gestor de contraseñas para almacenar de forma segura estas contraseñas unicas, largas y aleatorias, usa una frase memorable pero original: que no pertenezca a un poema, canción o refrán. Los diccionarios modernos incorporan corpus de texto en múltiples idiomas. La frase debe vivir solo en tu cabeza.
El ciclo completo
Las filtraciones de datos alimentan el phishing; las de autenticación alimentan los ataques de diccionario. Son caminos distintos con el mismo origen: alguien no protegió bien lo que le confiaste.La diferencia es que contra el phishing te defiendes con escepticismo. Contra una brecha de servicio, solo te defiende haber elegido bien tu contraseña desde el inicio.
Y una regla de oro: no reutilices contraseñas. Tu banco probablemente usa $bcrypt$ y tiene un equipo de seguridad detrás. El foro de recetas donde te registraste hace años y usaste una única vez para descargar la receta de arroz a la cubana, quizá las guarde en texto plano. Si usas la misma clave, la seguridad de tu banco la está decidiendo, en realidad, el administrador de ese foro de cocina.
