La digitalización de los servicios básicos ha transformado nuestra vida cotidiana, pagamos la luz con un clic, consultamos el consumo desde el móvil y recibimos facturas digitales.
Estas comodidades parecen inofensivas, pero detrás se esconde una realidad incómoda, las empresas guardan en sus servidores una cantidad enorme de información muy personal sobre nosotros. Cuando esa información cae en manos ajenas por una brecha de seguridad, nuestra privacidad y seguridad financiera quedan en jaque.
El 12 de enero de 2026, miles de clientes de Endesa Energía (mercado libre) y Energía XXI (mercado regulado) recibieron un correo que empieza con «lamentamos informarle…».
Detrás de esas palabras formales hay un hecho grave: un atacante externo accedió a su plataforma comercial y pudo extraer datos sensibles de millones de personas.
Recopilación masiva de datos: un problema estructural
Las compañías energéticas no solo saben cuánto consumes; saben quién eres, dónde vives, cómo pagas y mucho más. Al firmar un contrato, entregamos:
- Nombre completo, DNI/NIE
- Dirección postal y de suministro
- Teléfono, correo electrónico
- IBAN de la cuenta bancaria para domiciliación
- Historial de consumo, CUPS (código del punto de suministro), tarifas contratadas
Todo esto se almacena en bases de datos centrales. Funciona muy bien… hasta que alguien entra donde no debe.
En este caso concreto, Endesa ha confirmado un acceso no autorizado e ilegítimo (así lo llaman ellos). Según sus comunicados oficiales publicados en sus webs y enviados por email:
- Un actor malicioso accedió a la plataforma comercial.
- Pudo ver y posiblemente copiar (exfiltrar) datos identificativos básicos, de contacto, DNI/NIE, información contractual y, en algunos casos, IBAN de cuentas bancarias.
- Buenas noticias relativas: no se comprometieron contraseñas ni claves de acceso a la zona cliente online.
- Hasta el momento de la comunicación (12 de enero de 2026), no consta uso fraudulento de los datos.
- La empresa ya notificó a la Agencia Española de Protección de Datos (AEPD) y activó protocolos de contención.
Fuentes periodísticas y de ciberseguridad (como Escudo Digital) elevan la escala, un hacker autodenominado "Spain" publicó muestras en foros de la dark web desde principios de enero, afirmando haber extraído más de 1 TB de datos referentes a más de 20 millones de personas (clientes actuales y antiguos). Endesa no ha confirmado la cifra exacta de afectados, pero hablamos de un incidente masivo.
¿Por qué estos datos son tan peligrosos, aunque “no haya pasado nada todavía”?
Imagina que alguien tiene tu DNI, tu dirección, tu teléfono y tu IBAN. No necesita tu contraseña para hacerte daño. Le basta con usar esa información real para que tú confíes y bajes la guardia.
Aquí van ejemplos cotidianos y realistas de lo que puede ocurrir (y ya ocurre tras brechas similares):
- PHISHING hiperpersonalizado (correo o SMS muy creíble) Recibes, «Urgente: problema detectado en tu domiciliación Endesa. Tu factura es de unos 85 € en tu dirección de “tu calle”. Valida aquí para evitar corte de suministro». Incluye tu nombre real, importe aproximado o referencia al contrato. Si pinchas → instalas malware o entregas códigos de verificación / datos de tarjeta.
- VISHING (llamada fraudulenta que suena oficial) Te llaman, «Hola [tu nombre], somos Seguridad de Endesa. Detectamos un cargo sospechoso en tu IBAN. Confirma tu DNI para bloquearlo ya». Usan datos que ya conocen para sonar legítimos. Objetivo, sacarte fecha de nacimiento, códigos SMS o claves de banca online.
- ESTAFA de “devolución milagrosa” Mensaje: «Te devolvemos 47,32 € por error en tu última factura Endesa. Confirma con el código que te llega por SMS». Ese código es la llave para entrar en tu banca.
- SUPLANTACIÓN para líos administrativos Alguien intenta cambiar la titularidad del contrato, dar de alta nuevos servicios o pedir financiación a tu nombre usando tu DNI y datos reales.
Estos engaños funcionan porque el mensaje parece venir de dentro: conocen detalles que solo Endesa debería saber.
¿Quién se beneficia realmente de estos datos robados?
Los ciberdelincuentes venden paquetes completos en la dark web (nombres + DNI + IBAN + historial). Los compran:
- Estafadores para campañas de phishing selectivo
- Grupos de fraude bancario
- Brokers que crean perfiles para publicidad invasiva o subidas de seguros
El valor no está en un fraude inmediato, sino en la vida larga de estos datos, el número de un DNI no caduca, un IBAN sigue sirviendo meses después.
¿Qué estás obligada a hacer la empresa/entidad por ley (PROTECCIÓN DE DATOS)?
- Contener el ataque (bloquear accesos)
- Investigar qué salió y cómo
- Notificar a la AEPD en máximo 72 horas si hay riesgo
- Avisar directamente a los afectados cuando el riesgo es alto (lo que está ocurriendo ahora)
Endesa ha cumplido con esto, pero la transparencia llega tarde, muchos clientes se enteraron por el correo, no antes.
Recomendaciones prácticas para ti (sin ser experto en ciberseguridad)
Acciones inmediatas (hazlas hoy, tardan minutos)
- Desconfía al 100 % de cualquier mensaje (correo, SMS, llamada) sobre Endesa que no hayas pedido tú.
- Nunca pulses enlaces ni descargues nada. Si necesitas algo, entra manualmente a www.endesa.com o www.energiaxxi.com.
- Activa notificaciones en tiempo real de movimientos en todos tus bancos (app o SMS).
- Guarda el correo oficial de Endesa (captura + PDF), sirve como prueba.
En los próximos días (refuerza sin alarma)
- Pon doble factor de verificación (2FA) en tu correo principal y banca (mejor con app que con SMS).
- Si te llaman sospechoso: cuelga y llama tú al número oficial (800 760 366 Endesa / 800 760 333 Energía XXI).
- Cambia contraseñas si reutilizabas alguna (aunque aquí no se filtraron).
Si ya ves algo raro (cargos extraños, contratos no pedidos)
- Contacta YA con tu banco
- Llama a Endesa por canal oficial
- Denuncia en Policía/Guardia Civil (online posible)
- Reclama ante la AEPD si crees que la gestión fue insuficiente
REFLEXIÓN FINAL (la que nadie quiere oír, pero hay que decir)
Las brechas como la de Endesa no son accidentes aislados. Son el precio estructural de concentrar datos masivos de millones de personas en pocas empresas, con seguridad que siempre va un paso atrás de los atacantes.
Mientras los servicios sigan dependiendo de recopilar todo esto, los avisos seguirán llegando. La buena noticia, la mayoría de fraudes se evitan con desconfianza activa y hábitos básicos. No hace falta ser un experto, basta con pensar, «Si no lo inicié yo, mejor paro y compruebo».
Tú no puedes impedir que alguien copie tus datos… pero sí puedes impedir que los use contra ti.
Isaac Díaz
PROCADE