“Si recibes un correo de Endesa hoy, no hagas clic. Si recibes una llamada de tu banco mañana, desconfía. La brecha de seguridad de enero de 2026 no es un simple aviso de ‘cambie su password’.”
Apenas llevamos dos semanas de 2026 y ya tenemos el primer gran incidente de ciberseguridad corporativa en España. Endesa (y su filial regulada Energía XXI) ha confirmado un acceso no autorizado masivo a su plataforma comercial.
Pero a diferencia de otros ataques donde “solo” se filtran correos y contraseñas cifradas, aquí los atacantes se han llevado las joyas de la corona de la identidad digital.
Los Hechos: ¿Qué ha pasado?
Entre el 12 y el 13 de enero, Endesa comenzó a notificar a millones de clientes sobre una exfiltración de datos en sus sistemas. Aunque la compañía asegura que las contraseñas de acceso al área de cliente y los datos de consumo no han sido comprometidos, el botín que se han llevado es mucho más peligroso para el fraude financiero.
Los datos expuestos incluyen:
Identidad: Nombre, apellidos y DNI/NIE.
Contacto: Domicilio, correo electrónico y teléfono.
Financiero: El IBAN completo de la cuenta bancaria.
Análisis del Vigilante: El peligro del combo “DNI + IBAN”
Aquí es donde quiero que prestes atención. Muchos usuarios respiran tranquilos cuando leen “no se han robado contraseñas”. Grave error.
Una contraseña se cambia en 1 minuto. Tu DNI es para siempre y tu cuenta bancaria es un dolor de cabeza cambiarla. Con la combinación de Nombre + DNI + Teléfono + IBAN, un ciberdelincuente tiene el “Kit de Inicio” perfecto para la Suplantación de Identidad.
¿Qué pueden hacer con esto?
Ataques de Ingeniería Social Dirigida (Vishing): Te llaman, saben tu nombre, tu DNI y tus últimos dígitos de cuenta. “Hola, le llamamos de su banco/eléctrica para verificar un cargo…”. Parecen legítimos porque tienen datos reales.
Domiciliaciones Fraudulentas: Dar de alta servicios a tu nombre que se cobran en tu cuenta.
Phishing de alta calidad: Correos que no parecen genéricos, sino que incluyen tus datos reales para que bajes la guardia.
¿Qué debes hacer AHORA MISMO?
Endesa ya está bloqueando cuentas preventivamente, pero la seguridad proactiva depende de ti. Como siempre digo en este blog: la paranoia es una virtud.
Vigilancia Bancaria Extrema: Revisa tus movimientos diarios. Si ves un cargo de 1€ o 5€ que no reconoces, devuélvelo. A veces hacen “cargos prueba” antes del golpe grande.
La Regla del “Cuelga y Llama”: Si te llaman de Endesa o de tu banco pidiendo códigos o confirmaciones, cuelga. Busca el número oficial tú mismo y llámales de vuelta. Nunca confíes en una llamada entrante.
Pregunta a tu banco por el “Bloqueo de Domiciliaciones”: Algunos bancos permiten bloquear recibos nuevos que no estén en una “lista blanca”.
Conclusión
Este incidente (que se suma a otro similar que sufrieron en 2024) demuestra que la protección del perímetro en las grandes utilities sigue siendo una asignatura pendiente.
Tus datos ya están fuera. Ahora toca vigilar.
