Hackeo a Endesa: qué han robado, qué riesgo tienes y qué hacer si eres cliente

2026 empieza fino: Endesa y su comercializadora regulada Energía XXI han confirmado un ciberataque que ha dejado al aire datos personales de parte de sus clientes y exclientes. No se ha caído la luz, pero sí se ha roto algo igual de delicado: la confidencialidad de tus datos.

Vamos al grano: qué ha pasado, qué pueden hacer con esa información y qué deberías hacer tú hoy, no “algún día”.

Qué ha pasado realmente en el ciberataque a Endesa

Según la propia compañía, un “acceso no autorizado e ilegítimo” ha entrado en su plataforma comercial y ha sacado datos relacionados con contratos de energía. No ha afectado al suministro eléctrico, sino a la información que Endesa guarda sobre sus clientes.

Lo importante:

• Los atacantes han accedido (y previsiblemente copiado) datos de clientes de Endesa Energía y Energía XXI.

• Endesa ha empezado a enviar correos y cartas avisando a los afectados.

• Ha comunicado la brecha a la Agencia Española de Protección de Datos y a las autoridades de ciberseguridad.

Mientras tanto, en foros de la dark web un hacker que firma como “Spain” presume de haber robado más de 1 TB de información de hasta 20 millones de personas.

Qué datos se han visto afectados

Aquí viene la parte fea. Endesa reconoce que el atacante ha podido acceder a:

• Datos identificativos: nombre, apellidos, DNI/NIE.

• Datos de contacto: dirección, email, teléfono.

• Información de contratos: CUPS, tipo de tarifa, histórico de contrato, etc.

• Datos bancarios: en muchos casos, IBAN u otros datos de pago.

La buena noticia (relativa):

• Endesa afirma que no se han visto comprometidas las contraseñas de acceso a la web de cliente ni las credenciales de banca online.

Pero con lo que se ha filtrado, ya hay material de sobra para hacer mucho daño si alguien se lo curra.

Qué pueden hacer con esos datos (y por qué importa)

Con nombre, DNI, dirección, teléfono, email e IBAN en la mano, un atacante puede:

• Hacer phishing muy creíble

  • Emails o SMS que parecen de Endesa, tu banco o Hacienda, con tus datos reales dentro.

• Intentar cargos o domiciliaciones fraudulentas

  • Usando tu IBAN para intentos de cobro que luego tienes que reclamar.

• Suplantar tu identidad

  • Para contratar servicios, hacer cambios de comercializadora o incluso abrir cuentas si la otra parte no valida bien la identidad.

No hay evidencia de uso fraudulento masivo de momento, pero tanto Endesa como las autoridades ya están avisando de que el riesgo existe y hay que ponerse en modo alerta.

Qué deberías hacer si eres (o has sido) cliente de Endesa / Energía XXI

Aunque no hayas recibido todavía la carta o el email, si has sido cliente en los últimos años, actúa como si tus datos estuvieran en el paquete. Lista rápida:

1. Reforzar seguridad digital básica

   • Cambia la contraseña del área de cliente de Endesa y de tu email principal (por si acaso) y usa contraseñas largas y únicas.

   • Activa doble factor de autenticación (2FA) en correo, banca online y servicios clave.

2. Máxima desconfianza con correos y SMS

   • Desconfía de cualquier mensaje que diga ser de Endesa, tu banco o “el regulador” pidiendo datos, códigos o que pulses un enlace.

   • Si tienes dudas, entra tú en la web oficial escribiendo la dirección a mano o llama al teléfono oficial, no al del SMS.

3. Vigilar tus cuentas bancarias

   • Revisa tus extractos en busca de cargos raros o domiciliaciones que no reconozcas.

   • Si ves algo extraño, habla con tu banco y pide devolución y bloqueo de futuros cargos a ese emisor.

4. Guardar la carta o el email de Endesa

   • Puede servir como prueba si más adelante tienes que reclamar algún perjuicio ante Endesa, tu banco, consumo o la AEPD.

5. Derechos ante protección de datos

   • Puedes pedir a Endesa que te detalle qué datos tuyos se han visto afectados y exigir medidas correctoras.

   • Y, si consideras que no han actuado correctamente, puedes reclamar ante la Agencia Española de Protección de Datos.

En resumen: no es el apocalipsis, pero sí una señal de alarma

• El hackeo a Endesa no va de cortes de luz, va de datos personales sensibles en manos equivocadas.

• La combinación de DNI + contacto + datos bancarios es un combo perfecto para timos muy creíbles.

• Aunque digan que no hay fraude detectado, el riesgo está ahí durante meses o años.

Moraleja Ventia-style:

No puedes evitar que una gran empresa sea hackeada,
pero sí puedes decidir si tú eres el blanco fácil o el cliente que ya va con todo blindado.

Si alguna vez has sido cliente de Endesa o Energía XXI, este es un buen momento para poner orden en contraseñas, banca online y hábitos digitales, igual que revisas tu contrato de luz cuando cambian tarifas. ¿Te ayudamos? 😉