Facebook Youtube

Brecha en la plataforma comercial de Endesa

Brecha de datos en Endesa: acceso no autorizado y recomendaciones de seguridad
Endesa ha confirmado un acceso no autorizado a su plataforma comercial. Te explicamos qué datos podrían haberse expuesto, los riesgos más comunes y qué medidas tomar si eres cliente.

Endesa (a través de su comercializadora Endesa Energía y, en paralelo, su comercializadora de referencia Energía XXI) comunicó a clientes un incidente de seguridad que permitió un acceso no autorizado a su plataforma comercial. Según la propia compañía, el incidente podría haber implicado la exfiltración (extracción) de determinados datos personales vinculados a contratos de luz y gas, aunque no se habrían visto comprometidas contraseñas.

Qué ha ocurrido (lo confirmado)

En sus comunicaciones, Endesa explica que detectó “evidencias” de un acceso ilegítimo y que, tras conocerlo, activó protocolos de contención y medidas técnicas/organizativas para mitigar el impacto y evitar recurrencias. Entre las acciones mencionadas: bloqueo inmediato de usuarios de acceso comprometidos, revisión de registros (logs), notificación a clientes afectados y monitorización reforzada.

La compañía señala además que el incidente fue notificado a autoridades competentes, incluyendo la Agencia Española de Protección de Datos (AEPD).

Qué datos podrían haberse robado

Lo relevante de este caso es el tipo de información potencialmente expuesta. Según Endesa/Energía XXI, el “actor malicioso” habría tenido acceso y podría haber exfiltrado.

Datos mencionados por la compañía

  • Datos identificativos básicos (p. ej., nombre y otros datos de identificación).
  • Datos de contacto.
  • DNI.
  • Datos relativos al contrato (información vinculada a tu suministro/relación contractual).
  • Eventualmente, medios de pago (IBAN). 

Qué no se habría comprometido

Endesa indica que no se comprometieron contraseñas de acceso.

Importante: aunque una empresa diga “no hay constancia de uso fraudulento”, una filtración de DNI + datos de contrato + IBAN puede facilitar suplantaciones y fraudes dirigidos (phishing “creíble” y estafas bancarias).

A cuántos clientes afecta

En esos días, información difundida por EFE (citando fuentes de la AEPD) indicó que la comunicación se envió a unos 10 millones de clientes en relación con el incidente y el aviso de exposición de datos.

Riesgos y consecuencias para los clientes

Consecuencias más probables para los afectados:

Endesa advierte de varios riesgos típicos tras una brecha de este tipo:

Suplantación y phishing dirigido

  • Suplantación de identidad: intentos de hacerse pasar por el cliente para trámites (o para engañar al propio cliente).
  • Phishing y spam dirigido: correos/SMS/WhatsApp que usan datos reales del contrato para ganar credibilidad (“sabemos tu CUPS”, “tu tarifa”, “tu dirección”, etc.).

Riesgo bancario si tu IBAN estuvo en la plataforma

  • Fraudes bancarios: intentos de obtener más datos o autorizar operaciones (códigos SMS, Bizum, “verificación”, etc.) aprovechando que el IBAN puede estar expuesto.

Precauciones recomendadas (pasos concretos)

  • Desconfía de mensajes “con prisa”

Si recibes un aviso de “regularización”, “corte inminente”, “devolución”, “cambio de cuenta”, “firma urgente”, etc., no pinches enlaces ni abras adjuntos: valida primero por canal oficial.

  • Verifica por canales oficiales (y no por el enlace del mensaje)

En las comunicaciones publicadas por medios, se indica que Endesa pidió comunicar acciones sospechosas mediante teléfonos específicos (por ejemplo, 800 760 366 para Endesa Energía o 800 760 250 en el texto de Energía XXI). Si dudas, usa solo teléfonos y áreas de cliente que ya conocías (factura, web oficial escrita a mano, app oficial).

  • Refuerza tu banca (si tienes domiciliación/pagos)
  1. Activa alertas de cargos y transferencias en tu banco.
  2. Revisa recibos/adeudos SEPA y movimientos.
  3. Si ves algo raro: bloquea, contacta con tu banco y solicita devolución/retrocesión si procede (según el caso y plazos aplicables).
  • Protege tus cuentas (aunque no robaran contraseñas)

El mayor riesgo suele ser el phishing posterior. Buen mínimo:

  1. Cambia contraseñas reutilizadas en otros servicios (si las hubiera).
  2. Activa 2FA donde puedas (email, banca, etc.).
  3. No compartas códigos SMS, claves, ni datos completos por teléfono.

Cómo identificar un intento de estafa

  • Señales típicas de estafa “haciéndose pasar por Endesa”
  1. Te piden código SMS, clave, captura del banco o que “confirmes” datos por enlace.
  2. Te presionan con “corte”, “multa” o “caducidad”.
  3. Te ofrecen “descuento exclusivo” a cambio de datos bancarios inmediatos.

Qué hacer si crees que ya has sido víctima

  1. Banco: avisa y bloquea operaciones/medios comprometidos.
  2. Denuncia: reúne evidencias (capturas, correos completos con cabeceras si puedes, teléfonos, justificantes).
  3. Endesa: notifica el intento/fraude por canales oficiales.
  4. AEPD: si hay indicios de perjuicio o mala gestión de tus datos, valora una reclamación/consulta.

Fuentes (enero 2026)

  • Endesa (comunicación a clientes / Protección de datos): detalle del incidente y tipos de datos potencialmente expuestos.
  • Energía XXI (página de “Incidente de seguridad”): descripción del incidente y datos afectados.
  • EFE (12/01/2026): alcance y resumen informativo del aviso a clientes.
  • elDiario.es (teletipo EFE con referencia a AEPD): confirmación de notificación a la AEPD y alcance reportado.
  • EL PAÍS (12/01/2026): síntesis del incidente, riesgos y recomendación de vigilancia ante comunicaciones sospechosas.
  • Heraldo (publicación del texto de la carta): transcripción de la comunicación enviada a clientes (Energía XXI).

Comparte este Post:

Noticias relacionadas

Scroll al inicio