Endesa Energía ha sido víctima de un ciberataque que ha dejado al descubierto información crucial de sus clientes, en un momento en que el sector energético español atraviesa una etapa complicada.

Imaginen abrir su correo y encontrar que su DNI y su IBAN están circulando por la dark web: eso es lo que ha sucedido esta semana a millones de usuarios.

La compañía eléctrica, una de las líderes en el mercado libre junto a Energía XXI, envió alertas urgentes el 12 de enero de 2026.

Un hacker logró infiltrarse en la plataforma comercial, evadiendo las medidas de seguridad y accediendo a datos relacionados con contratos de luz y gas. Aunque las contraseñas no fueron comprometidas, sí se expusieron datos básicos como nombres, apellidos, información de contacto, direcciones postales y lo más preocupante, DNI e IBAN en ciertos casos.

El portal Escudo Digital reveló la situación el 6 de enero: un hacker conocido como Spain presumió en un foro oscuro haber robado más de 1 TB de información perteneciente a más de 20 millones de personas. Según sus propias palabras, logró acceder en menos de dos horas y media.

Endesa activó inmediatamente sus protocolos. Se bloquearon accesos comprometidos, se revisaron registros y se implementaron medidas adicionales para proteger los sistemas. La empresa notificó a la Agencia Española de Protección de Datos (AEPD) y a otras entidades pertinentes, como exige la normativa vigente.

Aunque las operaciones diarias continúan con normalidad, ahora el foco está puesto en los clientes afectados. Hasta el momento no hay evidencia del uso fraudulento de los datos, y la compañía considera «improbable» un impacto significativo en los derechos y libertades individuales. Sin embargo, advierten que los ciberdelincuentes podrían suplantar identidades, publicar información en foros o llevar a cabo intentos de phishing y spam mediante correos electrónicos, mensajes SMS o llamadas que aparenten ser legítimas.

Datos comprometidos en detalle

El alcance del ataque es alarmante. Fuentes como Escudo Digital han proporcionado detalles sobre el material robado:

Datos personales : Nombres, apellidos, DNI, información de contacto, direcciones postales y relación entre cuenta y persona.

: Nombres, apellidos, DNI, información de contacto, direcciones postales y relación entre cuenta y persona. Datos financieros : IBAN, historial de facturación y modificaciones en cuentas.

: IBAN, historial de facturación y modificaciones en cuentas. Datos energéticos : CUPS (Código Universal del Punto de Suministro), contratos activos tanto para luz como para gas, así como detalles sobre el punto de suministro.

: CUPS (Código Universal del Punto de Suministro), contratos activos tanto para luz como para gas, así como detalles sobre el punto de suministro. Otros: Listas Robinson, cuentas exentas e historial de incidencias.

Endesa y Energía XXI cuentan con alrededor de 10 millones de clientes activos, aunque las notificaciones también se han enviado a antiguos usuarios. El hacker afirmó haber afectado a 20 millones, una cifra que Endesa aún no confirma debido a la investigación en curso. Fuentes internas mencionan una base de datos expuesta con contratos y pagos sin ofrecer cifras exactas.

La empresa ha hecho llegar un comunicado estándar a los afectados. Comienza con un «lamentamos comunicarle» e informa sobre el acceso «no autorizado e ilegítimo». En dicho comunicado explican las acciones tomadas: contención inmediata, mitigación del problema y prevención para el futuro. Reiteran que no se han robado contraseñas, lo que impide accesos directos a las cuentas del cliente.

Respuesta de Endesa y riesgos para los usuarios

Endesa actuó rápidamente tras detectar la brecha. Se bloqueó el acceso a los usuarios afectados, se revisaron registros detalladamente y se notificó a todos los implicados. Además, mantienen un seguimiento constante para identificar cualquier actividad sospechosa. También han informado a la AEPD y colaboran con proveedores para llevar a cabo una investigación interna completa. Todo esto con el objetivo claro: comprender la magnitud del problema y cerrar posibles vulnerabilidades.

Sin embargo, el verdadero peligro recae sobre los clientes. Con DNI e IBAN ahora en manos equivocadas, los hackers tienen herramientas para llevar a cabo estafas creíbles. Podrían:

Suplantar identidades: Utilizar tus datos para abrir cuentas o solicitar créditos fraudulentos. Publicar la información en foros: Venderla en la dark web tal como ya hizo Spain. Realizar ataques phishing: Enviar correos electrónicos o SMS solicitando más datos o pagos, así como enlaces maliciosos para hacer clic. Bombardear con spam masivo: Inundar con mensajes falsos que parezcan proceder del banco o incluso de Endesa misma.

Expertos en ciberseguridad han instado a mantener precauciones extremas. Es fundamental desconfiar siempre ante comunicaciones sospechosas que soliciten información sensible. Endesa ha habilitado un número telefónico: 800 760 366, donde se pueden reportar anomalías. Recomiendan no proporcionar datos personales a desconocidos y contactar con la Policía si se sospecha alguna actividad fraudulenta.

Contexto en el sector y lecciones prácticas

Este incidente no es algo aislado dentro del ámbito digital actual. Las empresas eléctricas manejan enormes volúmenes de datos sensibles debido al avance tecnológico en sus servicios. Endesa, parte del conglomerado italiano Enel, proporciona atención a millones en España; por lo tanto, una brecha así puede hacer tambalear la confianza del consumidor. Recordemos otros hackeos similares: los datos energéticos como CUPS permiten rastrear domicilios específicos; cuando se combinan con IBANs pueden facilitar robos bancarios significativos.

¿Qué pasos seguir si has recibido ese correo? Endesa ofrece recomendaciones claras:

Mantén un ojo atento sobre tus cuentas bancarias por movimientos inusuales.

Cambia tus contraseñas bancarias y aquellas relacionadas con servicios esenciales (aunque las contraseñas asociadas a Endesa estén seguras).

Activa alertas SMS para transacciones.

Ignora correos electrónicos o llamadas pidiendo tu información; verifica directamente con tu banco.

Reporta cualquier sospecha al número 800 760 366 o contacta con la Policía local.

La AEPD llevará adelante una investigación sobre si Endesa ha cumplido adecuadamente con el RGPD (Reglamento General sobre Protección de Datos). Si se determina que han fallado en garantizar la protección adecuada podrían enfrentarse a multas considerables. Mientras tanto, la compañía promete implementar medidas adicionales para prevenir futuros incidentes similares.

En este mundo donde un solo clic puede tener consecuencias devastadoras, esta situación nos recuerda que ni siquiera las grandes empresas están exentas del riesgo cibernético. Endesa está intentando controlar el fuego desatado; sin embargo, son los clientes quienes deben estar atentos para extinguir cualquier chispa peligrosa que surja.