Un hackeo a Endesa compromete datos sensibles de clientes de luz y gas
Endesa Energía ha informado de que ha sufrido un “acceso no autorizado e ilegítimo” a su plataforma comercial, utilizado para la gestión de contratos de luz y gas, que ha derivado en la extracción de datos sensibles de sus clientes. La compañía reconoce que un actor malicioso ha conseguido sobrepasar las medidas de seguridad existentes y acceder a información vinculada directamente a los contratos energéticos, si bien subraya que, según la investigación en curso, las contraseñas de acceso no se han visto comprometidas.
De acuerdo con los comunicados remitidos por Endesa a los usuarios y a los primeros análisis publicados por medios especializados, los datos potencialmente afectados incluyen nombres y apellidos, datos de contacto, direcciones postales, documentos de identidad (DNI) y el IBAN de las cuentas bancarias asociadas a los pagos. La empresa detalla que el atacante “habría tenido acceso y podría haber exfiltrado” esta información desde sus sistemas, lo que convierte el incidente en una brecha de seguridad de alto impacto por la combinación de datos identificativos y financieros.
Endesa ha comenzado a notificar de manera escalonada a los clientes afectados a través de correos electrónicos en los que explica la naturaleza del incidente, los datos potencialmente comprometidos y las recomendaciones básicas de seguridad. En esos mensajes, la compañía indica que ha activado todos los protocolos y procedimientos internos previstos para este tipo de eventos, orientados a contener la brecha, mitigar sus efectos y prevenir que se repita en el futuro.
La eléctrica señala que, hasta el momento, no ha detectado un uso fraudulento generalizado de la información robada, pero advierte de que el actor malicioso podría intentar suplantar la identidad de los clientes, publicar los datos en foros digitales o emplearlos para campañas de correos y mensajes fraudulentos (phishing y spam). Los expertos en ciberseguridad consultados por distintos medios insisten en que la combinación de DNI e IBAN, junto con datos de contacto, puede facilitar intentos de estafa dirigidos y otros tipos de fraude financiero.
Diversas informaciones apuntan a que el incidente se habría hecho visible públicamente después de que un supuesto hacker afirmara en foros de la dark web haber accedido a una base de datos de Endesa con más de un terabyte de información que contendría datos de hasta 20 millones de personas. Las autoridades policiales españolas han abierto diligencias para esclarecer el alcance real del ataque y verificar la autenticidad de las muestras de datos que se habrían puesto a la venta en estos canales clandestinos.
El episodio se produce en un contexto en el que Endesa ya había sido objeto de fuertes reproches regulatorios en materia de protección de datos, después de que la Agencia Española de Protección de Datos (AEPD) le impusiera en 2024 una sanción de 6,1 millones de euros por una brecha anterior que expuso información de millones de clientes. En aquella ocasión, la AEPD concluyó que la compañía no había aplicado medidas de seguridad suficientes para impedir accesos indebidos y recomendó reforzar los controles de autenticación, trazabilidad y gestión de incidentes.
Firmas especializadas en ciberseguridad señalan que el nuevo ataque a Endesa vuelve a situar en primer plano la vulnerabilidad de las infraestructuras críticas y de las grandes bases de datos de clientes en el sector energético. Los analistas subrayan que este tipo de brechas exige una revisión profunda de los sistemas de protección, segmentación de redes, gestión de accesos privilegiados y monitorización continua de actividades anómalas en plataformas comerciales.
Ante el incidente, los organismos de consumo y expertos en protección de datos recomiendan a los clientes de Endesa extremar la precaución frente a llamadas, correos o mensajes inesperados que soliciten información personal o bancaria, aunque se identifiquen como la propia compañía o como entidades financieras. También aconsejan revisar con frecuencia los movimientos bancarios, activar alertas de operaciones y, si se detecta alguna irregularidad, contactar de inmediato con la entidad financiera y, en su caso, con las fuerzas de seguridad y la AEPD.