Endesa Energía ha confirmado recientemente que ha sufrido un 'hackeo' que ha afectado a su plataforma comercial, dando lugar a una filtración de datos personales sensibles de clientes, entre ellos información de contratos, documentos de identidad, cuentas bancarias (IBAN) y otros datos asociados a los servicios de luz y gas. Este incidente de ciberseguridad ha motivado que la compañía inicie una notificación a los usuarios afectados mediante correo electrónico.
Tras detectar el acceso no autorizado e ilegítimo, Endesa ha comenzado una investigación para esclarecer el alcance del suceso e identificar los posibles daños. Según el análisis inicial de la compañía, el actor malicioso podría haber accedido y extraído datos de contacto, documentos identificativos y datos bancarios, aunque se recalca que las contraseñas no habrían sido comprometidas. No obstante, Endesa advierte sobre el riesgo potencial de usurpación de identidad, publicación no autorizada de dichos datos en foros digitales o su posible uso en campañas de 'phishing' y 'spam'.
Recomendaciones a usuarios
La compañía considera «improbable» que la situación derive en un riesgo elevado para los derechos y libertades de los clientes, pero recomienda permanecer atentos ante posibles comunicaciones sospechosas que se reciban en los próximos días. Endesa insta a notificar cualquier actividad inusual al teléfono gratuito: 800 760 366. De manera inmediata tras la detección de la brecha, se activaron los protocolos previstos para este tipo de incidentes, así como nuevas medidas técnicas y organizativas para contener y mitigar el impacto.
Alcance del ataque
Tal y como recoge el portal Escudo Digital, el ataque fue reportado el 6 de enero de 2025, indicando que el ciberdelincuente habría publicado detalles del ataque y la información extraída en un foro de la dark web. En dicha publicación se afirmaba haber obtenido más de 1 TB de datos, vinculados a más de 20 millones de personas. Según la fuente, la base de datos robada contendría «datos personales, como nombres y apellidos, datos de contacto, dirección postal y relación cuenta-persona; datos financieros, como IBAN, datos de facturación e historial de cuentas y cambios; datos energéticos relativos a contratos activos de luz y gas y datos regulatorios, como Listas Robinson y cuentas exentas».