Endesa padece unha importante filtración de datos dos seus clientes
luns, 12 de xaneiro do 2026
Endesa confirmou aos seus clientes a existencia dun incidente de seguridade nos seus sistemas comerciais que terÃa permitido o acceso non autorizado a datos persoais asociados a contratos enerxéticos, á vez que o posible responsable da filtración da información asegura dispoñer dunha base de datos masiva con información de ata 20 millóns de persoas.
Nun correo electrónico remitido aos usuarios, Endesa sinala que detectou un acceso «non autorizado e ilexÃtimo» á súa plataforma comercial, que comprometeu a confidencialidade de determinados datos persoais. Segundo a comunicación, o incidente poderÃa afectar a información identificativa básica, datos de contacto, documentos nacionais de identidade, información contractual e, eventualmente, datos bancarios como o IBAN, aÃnda que a compañÃa subliña que en ningún caso se viron comprometidos datos de acceso como contrasinais.
A compañÃa enerxética afirma que, tan pronto como tivo coñecemento do suceso, activou os seus protocolos internos de seguridade para conter o incidente, mitigar os seus efectos e evitar que se repita. Entre as medidas adoptadas menciona o bloqueo inmediato dos accesos comprometidos, a análise dos rexistros de actividade e a notificación directa aos clientes afectados. Asà mesmo, Endesa indica que informou ás autoridades competentes, incluÃda a Axencia Española de Protección de Datos, e que a investigación continúa tanto a nivel interno como cos seus provedores tecnolóxicos.
Na mesma comunicación, a compañÃa asegura que, a dÃa de hoxe, non ten constancia de que os datos afectados fosen utilizados de maneira fraudulenta e considera improbable que se materialice un risco elevado para os dereitos e liberdades dos clientes. Con todo, advirte da posibilidade de intentos de suplantación de identidade, publicación de datos persoais ou campañas de phishing e spam, polo que recomenda extremar a cautela ante comunicacións sospeitosas e non facilitar información sensible a terceiros.
Estas explicacións chegan despois de que distintos medios especializados en ciberseguridade informasen nos últimos dÃas dunha suposta filtración de grandes dimensións. Segundo esas publicacións, un atacante que se identifica co alcume de spain asegurou ter accedido aos sistemas de Endesa e extraÃdo unha base de datos en formato .sql de 1,05 TB, con arredor de 20 millóns de rexistros correspondentes a clientes actuais e antigos.
De acordo con esa información, o conxunto de datos incluirÃa nomes e apelidos, datos de contacto, enderezos postais, relacións conta-persoa, información financeira como IBAN e historial de facturación, asà como datos enerxéticos especialmente sensibles, entre eles o CUPS (identificador único do punto de subministración), contratos activos de electricidade e gas, información regulatoria e historial de incidencias. O propio ciberdelincuente terÃa compartido mostras da base de datos para demostrar a súa autenticidade e ameazado con publicar máis información se a empresa non contacta con el.
As mesmas fontes sinalan que o atacante tentou vender inicialmente os datos ao mellor postor e que, aÃnda que recibiu ofertas de terceiros, asegura non ter pechado ningunha operación á espera dunha posible negociación coa compañÃa.
Semella que estamos ante unha das maiores filtracións de datos rexistradas en España, polo volume de persoas potencialmente afectadas e pola combinación de información persoal, bancaria e enerxética, que supón unha grande vulnerabilidade para os usuarios, xa que facilita enormemente a suplantación da súa identidade, especialmente para a contratación de servizos de enerxÃa.
