Endesa, una de las empresas energéticas más importantes de España, ha sufrido una gran filtración de datos. Según se hizo eco ADSLZone el pasado 8 de enero, un ciberdelincuente que se hace llamar “Spain”, aseguraba que había conseguido acceso a los sistemas de Endesa en poco más de dos horas. Esto supone la filtración de datos de más de 20 millones de personas. Ahora, han creado una plataforma de afectados con más de 1.200 personas.
Por parte de Endesa, el pasado 12 de enero confirmaron que habían sido víctimas de un ciberataque y comunicaron a sus clientes este incidente mediante correo electrónico y SMS. En RedesZone, escribimos un artículo explicando cómo debes actuar si recibes este mensaje. Además, desde INCIBE, el Instituto de Ciberseguridad de España, han alertado de la gravedad de este hecho (4 en una escala de 5) y piden estar especialmente alerta ante cualquier SMS, correo o llamada recibida.
Plataforma de afectados por el hackeo a Endesa
A través del foro ForoCoches, han creado una plataforma de afectados por el hackeo a Endesa y cuenta ya con más de 1.200 afectados. Han podido recopilar, en apenas 72 horas, cientos de testimonios de clientes afectados por este incidente de seguridad. Esto supone un riesgo importante no solo para la privacidad, sino también para la protección de los usuarios.
Te dejamos una captura con el correo enviado desde Endesa a sus clientes, donde confirmaban el incidente:
Hay que recordar que se han filtrado datos muy sensibles, más allá del nombre completo de los clientes. Por ejemplo, ha quedado expuesto el DNI, el IBAN completo, direcciones, CUPS y otros datos críticos que podrían utilizar en ciberestafas y llegar a robar dinero o tomar el control incluso de los dispositivos.
Esta plataforma de afectados ya ha reportado testimonios de víctimas que han sufrido ataques Vishing, que es un tipo de suplantación a través de una llamada. Pueden hacerse pasar por Endesa, en este caso, y, con todos los datos que han podido recopilar, llevar a cabo una estrategia para que la víctima dé acceso a su banco, realice un pago involuntario o llegue a instalar un software malicioso en su dispositivo.
También han explicado, a través de una nota a la que hemos tenido acceso en RedesZone, que están tramitando denuncias masivas ante la AEPD y organizando acciones legales conjuntas. Hay que recordar que, ante un incidente de este calibre, y en cumplimiento del artículo 33 del Reglamento UE 2016/679, las empresas están obligadas a notificar, en un plazo de 72 horas, un ciberataque que comprometa la privacidad de los usuarios.
Te dejamos una captura de pantalla donde puedes ver un menaje en un foro de Internet, en el que aseguran tener una enorme cantidad de archivos relacionados con esta filtración masiva de Endesa. Ahí aseguran tener datos de más de 20 millones de clientes.
En un mensaje más reciente, con fecha de 14 de enero, aseguran que han hecho públicos los datos de una pequeña parte, de 50.000 usuarios, para verificar que realmente es cierto que cuentan con toda esa cantidad de información.
A través de redes sociales, son muchos los que se han hecho eco de este grave problema y exigen algún tipo de respuesta contundente.
JaviZone 🚀@JavierSanzLa filtración de datos de ENDESA es GRAVÍSIMA. Han publicado una pequeña parte y aparecen todos los datos incluidos números de cuenta.La Agencia de Protección de Datos debería crujir literalmente a la empresa eléctrica
16 de enero, 2026 • 10:05
7
0
Cómo prepararte
En el post de ForoCoches, de la plataforma de afectados, puedes ver testimonios muy diversos. Hay muchos afectados y advierten que, teniendo todos esos datos que se han filtrado, pueden llevar a cabo estrategias de todo tipo. Podrías recibir una llamada falsa, un SMS o un correo electrónico, en el que van a hacerse pasar por Endesa. Incluso podrían mencionarte este incidente de seguridad, para ganarse tu confianza, y pedir que hagas algo para, supuestamente, ayudarte.
Podrían pedirte que entres en tu banco y le des un código de seguridad, que instales algún archivo en tu dispositivo para protegerte, que le des algún tipo de información adicional o realices cualquier tarea. Como tienen datos de todo tipo, incluso el IBAN bancario, podrían utilizar la ingeniería social para estafarte y tener mayor probabilidad de éxito.
Jamás debes dar ningún tipo de clave a través de una llamada telefónica. Puede que incluso suplanten a tu banco, diciendo que ha habido un incidente con Endesa y que te están protegiendo. Ante llamadas de este tipo, lo mejor que puedes hacer es colgar de inmediato.
| Tipo de Dato Filtrado | Riesgo Principal Asociado | Acción Recomendada por INCIBE |
|---|---|---|
| Nombre completo y DNI | Suplantación de identidad, alta en servicios fraudulentos. | Monitorizar actividad crediticia y denunciar ante FCSE. |
| IBAN completo | Intentos de transferencias no autorizadas, cargos fraudulentos. | Contactar inmediatamente con la entidad bancaria. |
| Dirección postal y email | Phishing y Vishing altamente personalizados y creíbles. | Máxima desconfianza ante comunicaciones no solicitadas. |
| CUPS (Contrato de suministro) | Cambios de titularidad o de compañía fraudulentos. | Verificar el estado del contrato con la compañía. |
En las próximas semanas, va a haber muchos intentos de estafa de este tipo, a personas de todas las edades. Es clave, también, informar a tus amigos y familiares, especialmente aquellos que, por edad o conocimientos, puedan caer en este tipo de engaños.
