Endesa y su filial Energía XXI han confirmado haber sufrido un acceso no autorizado a parte de sus sistemas comerciales, con exposición de datos personales de clientes, antiguos y actuales. La compañía comunicó el incidente el 12 de enero de 2026, tras detectar la intrusión y notificarla a las autoridades competentes.
La información disponible indica que el acceso no autorizado se habría producido a finales de 2025 o comienzos de 2026, utilizando sistemas vinculados a la gestión comercial de clientes. La compañía no ha detallado públicamente el vector de ataque ni las circunstancias técnicas que permitieron la intrusión, o el número de clientes afectados.
Un análisis publicado por la firma especializada en ciberseguridad Outpost24 plantea como posible escenario que el ataque se iniciara tras la obtención de credenciales internas de empleados, con acceso a una plataforma de gestión de clientes. Esta hipótesis no ha sido confirmada por la compañía ni por las autoridades.
Aunque Endesa ha destacado que la información expuesta no permite operar directamente sobre los contratos, ni acceder a las cuentas de usuario, los datos expuestos incluyen al parecer nombre y apellidos, documento de identidad, datos de contacto (teléfono, correo electrónico y dirección postal), asi como información asociada a contratos de suministro eléctrico y gas, y datos bancarios como el IBAN en determinados casos, que pueden ser utilizados en intentos de fraude o suplantación de identidad sin necesidad de acceder a la cuenta del cliente, especialmente mediante comunicaciones fraudulentas personalizadas.
Medios especializados en ciberseguridad han informado de la aparición de muestras parciales de datos en foros de compraventa de información ilícita, lo que ha permitido verificar la autenticidad de parte de los registros. Según estos análisis, los datos estarían estructurados de forma coherente, incluyendo información identificativa, contractual y bancaria asociada a una misma persona, lo que implicaría un acceso de alto nivel. Endesa no ha confirmado la veracidad ni el volumen de estos conjuntos de datos, limitándose a señalar que la investigación sigue en curso.
La respuesta tras incidentes de este tipo suele incluir medidas de contención técnica, análisis forense de los sistemas afectados, notificación a las autoridades competentes y comunicación a los clientes potencialmente impactados.