El pasado 12 de enero de 2026, Endesa Energía y su filial Energía XXI, confirmaron oficialmente lo que durante días había circulado como rumor: fueron víctimas de un ciberataque masivo que comprometió información sensible de clientes, provocando una brecha de seguridad muy grave.
Una intrusión que amenaza tus datos y tu seguridad
Según la propia compañía, los atacantes obtuvieron acceso no autorizado a su plataforma comercial, extrayendo datos personales de millones de usuarios. Entre la información robada figuran nombres, apellidos, datos de contacto, DNI, información contractual y, en muchos casos, datos bancarios como números IBAN, elementos que, en manos equivocadas, facilitan fraudes, suplantación de identidad o estafas financieras.
Los expertos en ciberseguridad y las autoridades advierten que, aunque Endesa asegura que no se comprometieron contraseñas, los datos extraídos son suficientemente sensibles para desencadenar ataques de phishing, fraudes con tarjetas o intentos de suplantación en servicios financieros y comerciales.
Peor aún, fuentes periodísticas señalan que gran parte de la base de datos sustraída —alrededor de 1 TB con más de 20 millones de registros— fue puesta a la venta en foros de la dark web, lo que intensifica la preocupación por el riesgo real de exposición prolongada.
¿Por qué este ciberataque importa más que un simple fallo técnico?
Este incidente no se trata de un simple “apagón digital”: se trata de la violación de la confianza que millones de consumidores depositan en una empresa que gestiona servicios esenciales como luz y gas.
Además:
- Afecta tanto a clientes actuales como antiguos, incluidos usuarios que no mantenían relación contractual pero cuyos datos seguían almacenados.
- Las denuncias ante plataformas de reclamaciones y asociaciones de consumidores han empezado a proliferar, señalando vulneraciones graves del Reglamento General de Protección de Datos (RGPD).
- El impacto no se mide solo en números: los afectados sufren llamadas de spam y tentativas de fraude, signos de que la información robada ya está siendo utilizada por terceros.
Los derechos que tienes como consumidor y cómo reclamar
Ante un caso de esta magnitud, los clientes afectados no están desprotegidos. El RGPD y la legislación española reconocen derechos claros que pueden y deben reclamarse cuando una entidad que custodia nuestros datos no garantiza su seguridad:
- Derecho a información transparente: que Endesa detalle qué datos han sido comprometidos y cómo se produjo el acceso.
- Derecho a indemnización por daños y perjuicios: cuando la negligencia en la protección de datos causa un perjuicio económico, moral o reputacional.
- Derecho a que se adopten medidas correctivas: desde refuerzos de seguridad hasta compensaciones por riesgos de fraude.
Después del ataque cibernético de Endesa, numerosas quejas ya se están tramitando ante plataformas de consumidores, señalando que la empresa no ha garantizado la integridad y seguridad de la información bajo su custodia.
Qué puedes hacer si eres afectado
- Revisa si tu información fue comprometida (email de Endesa o contacto oficial).
- Activa alertas con tu banco y servicios financieros, y denuncia cualquier transacción sospechosa. Solicita a la entidad bancaria información sobre medidas preventivas ante suplantación de identidad.
- No ignores potenciales fraudes que soliciten información adicional. Correos o SMS que se hacen pasar por Endesa, bancos u organismos oficiales. Mensajes que generan urgencia (“verifique sus datos”, “bloqueo inmediato”). Enlaces o archivos adjuntos, incluso si incluyen logos reales.
- Inicia una reclamación formal exigiendo compensación por vulneración de derechos y protección de datos.
Si has recibido comunicaciones extrañas, intentos de suplantación o detectas actividad fraudulenta tras el ataque, podrías tener derecho a una indemnización por los daños causados por esta brecha de seguridad.