El 12 de enero, Endesa confirmó haber sido víctima de un ciberataque, informando a sus clientes a través de correos electrónicos y mensajes SMS. En RedesZone, publicamos un artículo que detalla cómo actuar ante este mensaje. Asimismo, INCIBE, el Instituto Nacional de Ciberseguridad de España, ha elevado la alerta sobre la seriedad de este incidente (4 de 5 en su escala) y recomienda estar muy atentos a cualquier SMS, correo o llamada que se reciba.
Creación de una plataforma para los afectados por el hackeo de Endesa
En el foro ForoCoches, se ha establecido una plataforma de afectados por el ataque a Endesa, que ya cuenta con más de 1.200 damnificados. En solo 72 horas, se han recopilado miles de testimonios de clientes que han experimentado este problema de seguridad. Esto representa un riesgo considerable no solo para la privacidad, sino también para la seguridad de los usuarios.
Te mostramos una captura del correo que Endesa envió a sus clientes, confirmando el incidente:
Es importante resaltar que se han expuesto datos muy sensibles, más allá del nombre completo de los clientes. Por ejemplo, se han filtrado el DNI, el IBAN completo, direcciones, CUPS y otros datos críticos que podrían ser empleados en ciberestafas, lo que podría resultar en el robo de dinero o el control de los dispositivos de los usuarios.
La plataforma de afectados ha reportado testimonios de personas que han sufrido ataques Vishing, que son intentos de suplantación a través de llamadas. Los estafadores pueden hacerse pasar por representantes de Endesa, utilizando la información que han recopilado para manipular a la víctima y conseguir acceso a su cuenta bancaria, realizar pagos involuntarios o incluso instalar software malicioso en su dispositivo.
Además, han emitido una nota que hemos podido consultar en RedesZone, donde indican que están presentando denuncias colectivas ante la AEPD y organizando acciones legales conjuntas. Cabe recordar que, según el artículo 33 del Reglamento UE 2016/679, las empresas deben notificar en un plazo de 72 horas cualquier ciberataque que comprometa la privacidad de los usuarios.
Te mostramos una captura de pantalla de un mensaje en un foro de Internet, donde afirman tener una gran cantidad de archivos relacionados con esta filtración masiva de Endesa, asegurando poseer datos de más de 20 millones de clientes.
En un mensaje más reciente, fechado el 14 de enero, se afirma que han hecho públicos los datos de un grupo reducido de 50.000 usuarios, para demostrar que realmente cuentan con tal cantidad de información.
A través de las redes sociales, muchos han alzado su voz sobre esta grave situación y exigen respuestas contundentes.
La filtración de datos de ENDESA es extremadamente grave. Han revelado una pequeña muestra y aparecen todos los datos, incluyendo números de cuenta.La Agencia de Protección de Datos debería tomar medidas severas contra la empresa eléctrica.
16 de enero, 2026 • 10:05
Cómo estar preparado
En el hilo de ForoCoches, donde se agrupan los afectados, puedes encontrar testimonios variados. Muchos usuarios advierten que, al tener acceso a todos esos datos filtrados, podrían llevar a cabo diversas estrategias de estafa. Podrías recibir llamadas falsas, SMS o correos electrónicos donde se presenten como Endesa. Incluso podrían mencionar este incidente de seguridad para ganarse tu confianza y solicitarte que realices alguna acción que, supuestamente, te beneficiará.
Podrían pedirte que accedas a tu banca online y proporciones un código de seguridad, que instales un archivo en tu dispositivo supuestamente para protegerte, o cualquier otro tipo de información adicional. Al tener acceso a datos sensibles, como el IBAN bancario, podrían utilizar la ingeniería social para maximizar sus posibilidades de éxito en el engaño.
Nunca compartas tus claves a través de una llamada telefónica. Es posible que incluso se hagan pasar por tu banco, alegando que hay un problema relacionado con Endesa y que están allí para protegerte. Ante este tipo de llamadas, lo más recomendable es colgar de inmediato.
Datos comprometidos en la filtración de Endesa
| Datos Filtrados | Riesgo Principal | Acción Recomendada por INCIBE |
|---|---|---|
| Nombre completo y DNI | Suplantación de identidad, alta en servicios fraudulentos. | Monitorizar actividad crediticia y denunciar ante FCSE. |
| IBAN completo | Transferencias no autorizadas, cargos fraudulentos. | Contactar de inmediato con el banco. |
| Dirección y correo electrónico | Phishing y Vishing altamente personalizados y creíbles. | Desconfianza máxima ante comunicaciones no solicitadas. |
| CUPS (Contrato de suministro) | Cambios de titularidad o de compañía fraudulentos. | Verificar el estado del contrato con la compañía. |
En las próximas semanas, se espera un incremento de intentos de estafa de este tipo, dirigidos a personas de todas las edades. Es esencial informar a amigos y familiares, especialmente a aquellos que, por su edad o falta de conocimientos, puedan ser más susceptibles a estos engaños.
Preguntas frecuentes
¿Qué datos personales se filtraron en el ciberataque a Endesa?
La filtración incluye datos sensibles como nombre completo, DNI, dirección, IBAN completo y el código CUPS del suministro.
¿Qué riesgos implican mis datos filtrados?
El riesgo más inmediato son los intentos de estafa, especialmente el Vishing (suplantación de identidad por llamada telefónica). Los delincuentes pueden usar tus datos para suplantar a Endesa o tu banco, solicitándote claves o pagos.
¿Qué es esta plataforma de afectados y cuál es su objetivo?
Es un grupo de más de 1.200 clientes de Endesa, organizado en un foro, que está recogiendo testimonios y tramitando denuncias masivas ante la Agencia Española de Protección de Datos (AEPD), además de planear acciones legales conjuntas.
