Un ciberataque a Endesa expone datos sensibles de más de 20 millones de clientes

Endesa Energía ha reconocido un acceso no autorizado a su plataforma comercial que ha derivado en la extracción de datos personales sensibles de sus clientes. Entre la información comprometida figuran el documento nacional de identidad y los medios de pago vinculados a los contratos de luz y gas. La empresa ha comenzado a notificar el incidente a los usuarios afectados mediante correo electrónico.

Según la investigación interna, el actor malicioso habría accedido y exfiltrado datos de contacto, documentos de identidad y el IBAN de las cuentas bancarias. Endesa matiza que las contraseñas de acceso no se han visto afectadas. No obstante, advierte de que los datos robados podrían ser utilizados para suplantación de identidad, publicación en foros digitales o campañas fraudulentas de phishing y spam.

Un volumen masivo de información

El portal especializado Escudo Digital reveló que el presunto ciberataque se produjo a comienzos de enero y que el pirata informático publicó detalles en un foro de la dark web el 4 de enero. Según esta fuente, el atacante asegura haberse hecho con más de 1 TB de información relativa a más de 20 millones de personas, lo que convierte el incidente en uno de los más graves registrados en el sector energético español.

Por los nombres de tablas y ficheros, el nivel de sensibilidad de los datos es extremo: información personal (nombre, apellidos, dirección postal), datos financieros (IBAN, facturación, historial de cuentas), datos energéticos (CUPS, contratos activos, puntos de suministro) y datos regulatorios (listas Robinson, cuentas exentas e incidencias).

Endesa activa protocolos y pide vigilancia

La compañía considera “improbable” que el robo se traduzca en una afectación de alto riesgo para los derechos y libertades de los clientes, aunque recomienda extremar la precaución ante posibles comunicaciones sospechosas en los próximos días. Endesa insta a informar de cualquier acción irregular en el teléfono 800 760 366.

Nada más detectar el incidente, la empresa activó los protocolos de seguridad y puso en marcha “todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro”.

Precedentes y marco regulatorio

Este ataque se suma a una lista creciente de incidentes que afectan a compañías estratégicas en España. El sector energético, considerado crítico por su papel en el suministro básico, se encuentra bajo la lupa de la Directiva NIS2 y de la normativa nacional sobre ciberseguridad, que obliga a las empresas a notificar las brechas a la Agencia Española de Protección de Datos (AEPD) y a implementar medidas reforzadas para garantizar la resiliencia de sus sistemas.

En los últimos años, empresas como Iberdrola o Naturgy han reportado intentos de intrusión, aunque ninguno con el alcance que ahora se atribuye al caso de Endesa. Expertos en ciberseguridad advierten que la sofisticación de los ataques y la exposición de datos financieros y regulatorios incrementan el riesgo de fraudes masivos y operaciones de ingeniería social.

La AEPD podría abrir un expediente para determinar si Endesa cumplió con los plazos y protocolos de notificación exigidos por el Reglamento General de Protección de Datos (RGPD). Las sanciones por incumplimiento pueden alcanzar hasta 20 millones de euros o el 4% de la facturación global.

Riesgos para los clientes

Aunque Endesa insiste en que no se han detectado usos indebidos, la magnitud del robo y la publicación en la dark web elevan la alerta. Los expertos recomiendan vigilar movimientos bancarios, desconfiar de correos que soliciten datos personales y activar sistemas de doble verificación en servicios digitales.

El incidente pone de relieve la vulnerabilidad de infraestructuras críticas y la necesidad de reforzar la inversión en ciberseguridad. Según datos del Instituto Nacional de Ciberseguridad (INCIBE), los ataques a empresas energéticas crecieron un 35% en 2025, con especial incidencia en accesos ilegítimos a plataformas comerciales y sistemas de facturación.