top of page
circulo.png
Logo Lexdatos

LexDatos Solutions

Seguridad y tranquilidad para crecer

Ciberataque a Endesa: por qué la protección de datos y la ciberseguridad empiezan en la conciencia.

Ciberataque endesa - lexdatos

El 12 de enero de 2026, Endesa y su comercializadora regulada Energía XXI confirmaron un ciberataque que ha comprometido datos personales y financieros de millones de clientes, incluidos nombres, DNI, direcciones de contacto y códigos IBAN vinculados a cuentas bancarias.


Aunque las contraseñas de acceso no se habrían filtrado, la intrusión permitió el acceso no autorizado a la plataforma comercial de ambas compañías, convirtiendo este incidente en uno de los más graves de los últimos años en el sector energético español.


¿Qué ha ocurrido exactamente?


Según las comunicaciones de Endesa a sus clientes:

  • Los atacantes obtuvieron datos personales y financieros, incluidos IBAN y detalles de contrato.

  • La compañía ha activado sus protocolos de seguridad para contener el ataque y está realizando un análisis exhaustivo con proveedores tecnológicos.

  • Las autoridades —incluida la Policía Nacional, la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad (INCIBE)— han sido notificadas y colaboran en la investigación.


📢 Aunque no hay evidencias confirmadas de uso fraudulento de los datos hasta el momento, la posible aparición de campañas de phishing o suplantación de identidad hace que los afectados deban permanecer especialmente alertas.


🔐 Por qué este ciberataque es relevante


Este incidente es significativo por varias razones:


  • Magnitud de los datos expuestos: no solo datos de contacto, sino también medios de pago (IBAN), contratos y DNI, lo que puede facilitar fraudes o robos de identidad.

  • Impacto en derechos y libertades: el uso indebido de esta información supone riesgos reales para la privacidad y la seguridad financiera de los clientes.

  • Alcance masivo: Endesa y Energía XXI suman millones de clientes en España y Portugal, por lo que la exposición de datos tiene un impacto muy amplio.


Qué dicen la AEPD y el INCIBE


📍 Agencia Española de Protección de Datos (AEPD)


La AEPD es el organismo encargado de velar por el cumplimiento de la protección de datos personales en España.

Entre sus funciones se encuentran:


  • Supervisar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y la LOPDGDD.

  • Exigir la notificación de brechas de datos personales que supongan riesgos para los derechos y libertades de las personas.

  • Facilitar guías y herramientas para la correcta gestión y comunicación de brechas de seguridad.


Cuando una brecha de datos personales puede entrañar un alto riesgo, existe la obligación de comunicarla a la AEPD en un plazo máximo de 72 horas, así como de informar a los afectados.


📍 Instituto Nacional de Ciberseguridad (INCIBE)

El INCIBE actúa como centro de referencia en España en materia de ciberseguridad para empresas, ciudadanos y administraciones.


Entre sus funciones destacan:


  • Ofrecer guías y recursos prácticos para gestionar brechas de seguridad.

  • Facilitar orientación y asistencia ante incidentes de ciberseguridad.

  • Colaborar con otras autoridades para reforzar la cultura de la seguridad digital.


Lecciones y recomendaciones


Este tipo de incidentes —como el de Endesa— nos recuerdan que la protección de datos y la ciberseguridad van de la mano.


Para las empresas:

  • Integrar la protección de datos desde el diseño.

  • Evaluar riesgos de forma continua.

  • Contar con protocolos claros de respuesta y comunicación ante incidentes.

  • Formar al personal en ciberseguridad.


Para los ciudadanos:

  • Desconfiar de comunicaciones sospechosas.

  • No facilitar datos personales o bancarios sin verificar la fuente.

  • Revisar movimientos bancarios con frecuencia.

  • Actuar rápidamente ante cualquier indicio de fraude.


El ciberataque a Endesa es un recordatorio claro de que la protección de datos personales es una prioridad y forma parte esencial de nuestra vida digital.


Este tipo de incidentes nos obligan a parar y hacernos una pregunta incómoda, pero necesaria:

¿estoy cuidando realmente mi información y la de quienes confían en mí?


En Lexdatos creemos que la ciberseguridad y la protección de datos empiezan ahí:en la conciencia.en mirar de frente lo que hacemos, cómo lo hacemos y qué riesgos estamos asumiendo.


Tú Mismo no es tecnología.

Es responsabilidad.

Es decidir proteger lo que importa antes de que sea demasiado tarde.


Porque cuanto más conscientes y preparados estemos, más seguros estaremos frente a amenazas que, cada vez con mayor frecuencia, ya no llaman… entran.


Tal vez hoy no necesites hacer nada más.

Solo parar un momento y preguntarte si estás cuidando de verdad lo que has construido.



Lexdatos

En Lexdatos acompañamos a quienes deciden hacerse esa pregunta a tiempo.

Porque ahí, en ese instante de conciencia, empieza Tú Mismo.

 
 
 

Comentarios

bottom of page