Endesa Energía ha reconocido "un acceso no autorizado e ilegítimo" a su plataforma comercial a principios de año que ha resultado en la extracción de datos de los clientes relacionados con sus contratos de luz y de gas, incluidos el documento de identidad y los medios de pago.
El grupo de ciberdelincuentes, que ha superado las medidas de seguridad implementadas por la empresa en su plataforma comercial, “habría tenido acceso y podría haber exfiltrado” datos de contacto, documentos de identidad y el IBAN de la cuenta bancaria. Endesa Energía asegura que no se han visto afectadas las contraseñas de acceso.
Aunque por el momento no ha detectado un uso indebido de los datos robados, la empresa avisa que los ciberdelincuentes pueden intentar usurpar o suplantar la identidad de los clientes, publicar los datos en foros digitales en la dark web o utilizarlos para enviar correos o mensajes fraudulentos dentro de campañas de phishing y de spam.
De momento, el grupo que presume ser el autor del ciberataque desvela detalles sobre éste en un foro de la dark web el domingo 4 de enero, como que se ha hecho con más de 1 TB de información que afecta a más de 20 millones de personas: "Hay datos personales, como nombres y apellidos, datos de contacto, dirección postal, y relación cuenta-persona; datos financieros, como IBAN, datos de facturación e historial de cuentas y cambios; datos energéticos, como el identificador único de punto de suministro o CUPS, contratos activos de luz y gas, datos del punto de suministro y datos regulatorios, como Listas Robinson, cuentas exentas e historial de incidencias”.
La empresa considera “improbable” que este robo “se materialice en una afectación de alto riesgo para sus derechos y libertades”, aunque recomienda a los clientes que estén atentos a “posibles comunicaciones sospechosas que pudiera recibir en los próximos días” y les insta a comunicar cualquier acción sospechosa en el número de teléfono: 800 760 366.
Nada más conocer el incidente, Endesa Energía también ha activado los protocolos y procedimientos de seguridad establecidos para estos casos, así como “todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro”.
Falta inversión en ciberseguridad y en personal cualificado
Para la firma tecnológica española Pandora FMS, el ciberataque a Endesa refleja el valor que tienen las empresas energéticas y reafirma la importancia de la ciberseguridad, ya que las incursiones en sectores esenciales aumentaron un 43% en 2025. El sector energético, que es fundamental tanto por la cantidad de datos que almacena como para el correcto funcionamiento del país, sufrió casi el 9% de estas incidencias. “Ya no importa tanto la cantidad de incidentes, sino la gravedad y efectividad de estos”, explica Sancho Lerena, experto en gestión IT y seguridad y CEO de Pandora FMS. “Esto no es un caso aislado, es el síntoma de un patrón: demasiadas compañías siguen sin segmentar entornos, sin revisar accesos y sin saber quién tiene la llave de qué. La sorpresa no es que pase, sino que no pase más a menudo”, resalta.
“Este tipo de ciberataques reflejan que se necesitan estructuras de seguridad y gestión más férreas. Monitorizar el funcionamiento interno es fundamental para analizar la evolución de logs, comportamientos anómalos y situaciones que muestren el intento de acceso no autorizado”, destaca este experto. “Este tipo de ciberataques tienen diferentes objetivos. Robar datos para revenderlos es uno muy habitual en pleno auge del mercado negro. Pero también se busca robar para conseguir un rescate a cambio, o simplemente paralizar un sistema y generar caos y desconfianza. Este último punto es clave, sobre todo ahora donde la ciberseguridad y la geopolítica están tan unidos”, indica Lerena.
En España es muy habitual que la protección de las empresas se produzca externamente con un equipo al que no se conoce. “Nuestra posición es que hay sistemas y formaciones para que se tenga un equipo propio que se dedique a ello, sin tener que externalizar toda la protección para una respuesta más rápida y un conocimiento más detallado”, advierte.
La conclusión es que los operadores estratégicos “están más amenazados que nunca”. La monitorización de los sistemas e infraestructuras IT de las compañías es más importante todavía. Y la inversión en este tipo de áreas también porque además de la ciberseguridad de cara al usuario también cobra relevancia la propia protección de la información interna. Monitorizar proactivamente infraestructuras críticas es clave para detectar y mitigar ataques DDoS (denegación de servicio) en tiempo real, manteniendo la continuidad del servicio y reduciendo el impacto en los usuarios.
“En España existen soluciones lo suficientemente potentes como para reducir este tipo de agresiones. Falta invertir en sistemas que generen estabilidad en las infraestructuras y en personal cualificado. Monitorizar los sistemas y tener una visión general de toda la infraestructura IT es fundamental. La tecnología permite ver si hay algún comportamiento inusual y así dar la oportunidad de anticiparse a un contagio masivo”, detalla Sancho Lerena.
Además, la incorporación reciente de nuevas tecnologías como la inteligencia artificial mejoran aún más estos sistemas de control frente a ciberataques. “El ciberataque no sucede solo por un fallo de ciberseguridad, también por errores en la configuración o por propios huecos que deja la compañía en su infraestructura”, insiste Lerena. Los ciberataques sufridos por las grandes empresas españolas confirman lo que viene alertando: que deben aumentar su inversión y preparación para estas situaciones. La gestión de datos irá a más y la tensión geopolítica aumentará el riesgo de recibir este tipo de agresiones.
Por su parte, en la firma de ciberseguridad ESET avisan que “el riesgo no termina con la notificación de la brecha”. “La información expuesta puede ser reutilizada durante meses o incluso años, para lanzar fraudes, suplantaciones de identidad o ataques dirigidos que aprovechan la confianza de los clientes en la empresa afectada”.
El director de Investigación y Concienciación de ESET España, Josep Albors, señala que es clave que las posibles víctimas puedan “mantener la calma y actuar con criterio”, y adoptar una actitud proactiva para reducir al máximo el impacto, si es que finalmente se produce. Esto se traduce mantenerse alerta ante comunicaciones sospechosas, desconfiar de los mensajes que digan proceder de la empresa afectada y que incluyan enlaces, archivos adjuntos o solicitudes urgentes. Ante la duda, contactar directamente con la compañía por sus canales oficiales.
También hay que comprobar con frecuencia los perfiles online y las cuentas bancarias que aparecen en los contratos, para detectar movimientos, mensajes o acciones que no hayan realizado los usuarios. Servicios gratuitos como Have I Been Pwned permiten comprobar si un correo electrónico u otros datos han aparecido en brechas conocidas y ayudan a anticiparse a posibles ataques.
Aunque Endesa asegura que las contraseñas de los usuarios no se han visto afectadas, los expertos de ESET recomiendan cambiarlas igualmente, especialmente si llevan tiempo sin actualizarse. Y reforzarlas con un sistema multifactor, que evita que los ciberdelincuentes accedan a la cuenta incluso si han conseguido la contraseña.