El 12 de enero de 2026, Endesa admitió un acceso no autorizado a su plataforma comercial. Aunque la empresa ha activado protocolos de contención, la magnitud de la filtración es considerable. Según fuentes de ciberseguridad, la cifra de registros comprometidos podría ascender a 20 millones, afectando tanto a clientes de mercado libre (Endesa Energía) como de mercado regulado (Energía XXI).
Datos expuestos
Los atacantes han logrado exfiltrar información extremadamente sensible que facilita la suplantación de identidad:
-
Identificación: Nombre completo, apellidos y número de DNI o NIE.
-
Contacto: Números de teléfono y direcciones de correo electrónico.
-
Finanzas: El código IBAN completo de la cuenta bancaria donde se domicilian los recibos.
-
Energía: Datos del contrato, historial de facturación y el código CUPS.
Nota importante: Endesa ha aclarado que las contraseñas de acceso al Área Cliente y los PIN de las facturas no se han visto comprometidos.
Cómo están operando los estafadores
Con la combinación de DNI + IBAN + Teléfono, los ciberdelincuentes están lanzando campañas de fraude muy sofisticadas. Estas son las modalidades más comunes detectadas en las últimas 48 horas:
Me acaban de hacer un intento de estafa telefónica de 1200 euros que casi caigo. Me llaman de un móvil, un tío en perfecto español que sabe mi nombre y me dice que llama de Bankinter, que han detectado un intento de fraude y que si yo he hecho dos compras en la madrugada
— Juan Dominguez (@iamthecosmos) January 14, 2026
1. El «Falso Gestor» (Vishing)
Recibes una llamada de alguien que dice ser de Endesa. Conocen tu nombre, tu DNI y tu banco, lo que les da una apariencia de total legitimidad. El gancho suele ser una supuesta incidencia en el cobro o una oferta de descuento inmediato para la que necesitan que «confirmes» un código que te llegará por SMS (que en realidad es el código para autorizar una compra o transferencia desde tu banco).
2. Phishing por SMS o Email
Están llegando mensajes alertando sobre un «error en la última factura» o la necesidad de «verificar tus datos tras el ciberataque». Estos mensajes incluyen enlaces a páginas web falsas que imitan a la perfección la estética de Endesa para robarte las credenciales que no consiguieron en el hackeo original.
Guía de protección: ¿Qué debes hacer ahora?
Si eres o has sido cliente de Endesa, el INCIBE y las autoridades recomiendan tomar estas medidas de inmediato:
-
Vigilancia bancaria extrema: Revisa los movimientos de tu cuenta diariamente. Si ves algún cargo desconocido, por pequeño que sea, contacta con tu banco para devolverlo y bloquear el emisor.
-
Activa alertas de identidad: Muchas entidades bancarias ofrecen servicios de «vigilancia digital» que te avisan si tu DNI o datos aparecen en nuevas solicitudes de créditos o servicios.
-
Cambia tus contraseñas: Aunque Endesa dice que están seguras, es una buena práctica cambiarlas por precaución, especialmente si usas la misma contraseña para otros servicios (como tu email).
-
Desconfía por sistema: Endesa nunca te pedirá datos bancarios sensibles ni códigos de autorización por teléfono o SMS. Si tienes dudas, cuelga y llama tú directamente al número oficial: 800 760 366.
-
Derecho de supresión: Si ya no eres cliente, puedes solicitar a la empresa que elimine tus datos personales para evitar que sigan expuestos en futuras brechas, siguiendo los modelos de la AEPD.
Si sospechas que ya has sido víctima de un fraude o has facilitado datos en una llamada sospechosa, debes presentar una denuncia ante la Policía Nacional o la Guardia Civil y notificarlo a tu entidad financiera de inmediato.
Con todos estos datos se puede hacer cosas peores como suplantar tú identidad y domiciliar servicios a tu nombre. No hace falta ni contactar contigo.
Lo venden como un no pasa nada, solo tienen tú DNI, nombre y apellidos, teléfono, mail y NUMERO DE CUENTA BANCARIA. Que pueden hacer solo con eso?
Pues destrozaros bien la vida!
Y éste gobierno que hace al respecto con estos estafadores? Y que hace con nuestra seguridad? Nos deja con el culo al aire??. Y a las personas las personas mayores como se les ayuda?? Endesa tendrá que reforzar su seguridad y ser responsable, digo yo?? Porqué a ellos se les ha hecho éste ciber ataque, así que sean responsables y pongan ellos el remedio y que paguen las consecuencias!!
Lo de Endesa es una vergüenza, como dice alguna otra persona, con todos esos datos, no hace falta que te envíen nada para confirmar, te hunden de primeras.
Y respecto a revisar alla cuenta cada día? De que van? Por una cagada suya yo tengo que estar todo el día mirando la cuenta? Por la noche también?
Los bancos y cajas, SI tendrían que pedirte confirmación de todo lo que sucede en nuestras cuentas, más hoy en día.
Como siempre pagamos los mismos los herrores de ellos a eso sí no pagues una factura verás que pronto te joden que vergüenza
Hay que denunciar a Endesa a la Agencia de Protección de Datos
Y si me cargan cosas a mi cuenta, quien me devuelve el dinero? Tardarían una eternidad seguro y mientras te siguen cobrando las facturas
Nosotros sin dar nuestros datos que intentan quitárnoslos a traición continuamente y ahora los tienen tan fácil por medio de a quien le llevamos pagando toda la vida.
Soy uno de los clientes de Endesa que ha recibido la alerta hace unos días respecto al robo de datos personales.
Hoy sobre las 13:30h he recibido una llamada súper extraña de una señora latina supuestamente que era de mi compañía de luz.Me ha empezado a preguntar sobre mis datos personales para comprobar que está todo correcto en la base de datos.He ahí que he estado alerta desde primera hora en esta llamada e insistido que cual es el nombre de la compañía y porque me insistía tanto por mis datos.
Por varias veces le pregunté nombre de la compañía eléctrica al final me ha colgado el teléfono.
Por si sirve de algo,este es el número 960 20 68 61 es de Valencia.
Hola, Ami me llamaron dos veces se Málaga una mujer y después un hombre diciendo que tenía un incidencia,que eran de la comercializadora de la luz