Vivim permanentment connectats perquè treballem, paguem, contractem serveis i signem documents des d'una pantalla. Aquesta comoditat, que ja ningú no discuteix, té una cara menys amable quan hi ha una bretxa de seguretat en una gran companyia, perquè el problema no es queda dins dels seus servidors. Es vessa cap enfora i, durant setmanes o mesos, converteix empreses i professionals en objectiu de fraus molt concrets.

Per això, rebre una carta o un correu electrònic d'Endesa informant d'un accés no autoritzat i d'una possible exposició de dades no hauria de provocar pànic, però tampoc indiferència. El més raonable és assumir que s'inicia un període de risc i actuar amb calma, amb mètode i amb un punt de desconfiança sana.

El primer pas és senzill i consisteix a guardar la comunicació tal com s'ha rebut i a registrar-ne la data. Sembla un detall menor, però en una PIME o en un despatx ajuda a evitar el desordre habitual en què algú d'administració rep un correu, un altre una trucada que diu venir del departament de seguretat i una tercera persona un SMS, i cadascú respon com pot. És millor fer just el contrari i que una sola persona centralitzi la gestió, mentre la resta sap que, davant de qualsevol missatge relacionat amb el "hackeig", l'ha de reenviar sense tocar res.

Un cop confirmat que la comunicació és real, la prioritat passa per una defensa eficaç que exigeix precisió. Davant d'avisos de dades filtrades que sovint són massa genèrics, l'afectat té dret a demanar informació útil i concreta. No n'hi ha prou amb saber que s'han filtrat dades personals. Cal exercir el dret d'accés i adreçar-se al delegat de protecció de dades de l'entitat per demanar, per escrit, quines categories de dades podrien estar implicades en el seu cas i en quin període. Aquesta informació és clau perquè permet ajustar la intensitat de la vigilància i, alhora, deixa una constància documental molt rellevant si més endavant aquestes dades s'arriben a utilitzar en un frau.

A partir d'aquí, convé aplicar una regla que gairebé sempre funciona com és no actuar amb presses. Els delinqüents aprofiten aquestes notícies per enviar correus i missatges que semblen autèntics i ofereixen solucions, verificacions o restabliments de contrasenya. Per això, encara que el correu tingui logotips, un to formal i fins i tot dades reals, el prudent és no clicar en enllaços ni descarregar fitxers adjunts. Si cal comprovar alguna cosa, que sigui l'usuari qui iniciï l'acció entrant al web oficial i teclejant l'adreça al navegador, o bé trucant a un telèfon confirmat per canals oficials. Aquesta petita disciplina evita molts ensurts.

Tot seguit cal passar a allò pràctic, que és la tresoreria. Si entre les dades exposades hi pot haver informació de pagament, com ara un IBAN, la pregunta no és si cal canviar el compte bancari l'endemà, perquè per a una empresa això pot ser un embolic enorme. La pregunta és com es pot apujar el nivell de control durant les properes setmanes.

Aquí funcionen mesures simples, però constants. Activar alertes de moviments a la banca en línia, revisar els càrrecs amb més freqüència que de costum i tractar qualsevol domiciliació estranya, encara que sigui petita, com un senyal d'alerta. Moltes estafes no comencen amb un cop gran, sinó amb microcàrrecs, amb serveis fraudulents o amb rebuts que passen desapercebuts en el tancament mensual. També val la pena parlar amb el banc per veure quines eines ofereix, com avisos, límits, bloquejos o verificacions addicionals. No totes les entitats permeten el mateix, de manera que el protocol s'ha d'adaptar a allò que realment es pot aplicar.

En empreses i despatxos hi ha un altre risc tan o més freqüent que una domiciliació indeguda i és el frau per canvi d'instruccions de pagament. Amb prou dades, un atacant pot fer-se passar per un proveïdor o fins i tot per algú intern i demanar que es canviï l'IBAN per actualització o per seguretat, o bé que es faci un pagament urgent. Aquí la millor defensa no és tant tecnològica com de procediment. Qualsevol canvi de compte ha de passar per una doble validació i s'ha de confirmar per un canal independent, per exemple trucant a un número ja guardat o contrastat prèviament, mai al que aparegui al correu. A comptabilitat convé deixar-ho ben clar i establir com a norma que no es canvia un IBAN per correu electrònic, per convincent que sembli, sense una verificació externa.

En paral·lel, cal cuidar la porta d'entrada més important. Encara que l'empresa afectada digui que no s'han compromès contrasenyes, és assenyat reforçar credencials. Canviar la contrasenya de l'àrea de client, no reutilitzar claus i activar l'autenticació en dos passos, sobretot al correu associat al contracte, redueix molt el risc que el problema es converteixi en una cadena d'accessos a altres serveis.

Finalment, si malgrat tot arriba a produir-se un perjudici, com ara un càrrec no reconegut, una suplantació o una contractació no consentida, el que marca la diferència és la prova. Convé conservar missatges, extractes, incidències amb el banc i una cronologia clara dels fets i, si escau, presentar denúncia. No es tracta de viure amb por, sinó de tenir un pla senzill. Perquè en aquests incidents, la millor defensa no és la paranoia ni el nerviosisme, sinó el protocol aplicat amb serenor.