Resumen rápido: alcance del incidente y datos comprometidos
Nos encontramos ante una brecha en la plataforma comercial de Endesa que expuso datos identificativos, de contacto, DNI y, eventualmente, IBAN, además de detalles contractuales. Endesa indica que no se comprometieron contraseñas y que activó medidas de contención y la notificación a la AEPD.
"El actor malicioso habría tenido acceso y podría haber exfiltrado […] datos identificativos básicos, de contacto, DNIs […] y eventualmente sus medios de pago (IBANs), si bien, en ningún caso, se han visto comprometidos datos de acceso a contraseñas." — Endesa
Fuente: Comunicado de Endesa.
En nuestro equipo de Bitralix varias personas fueron notificadas por ser (o haber sido) clientas, así que hablamos desde la trinchera: esto aumenta el riesgo de phishing y suplantación a corto y medio plazo, y exige vigilancia activa.
Cronología clara: del post en foros al aviso a clientes
Según la cobertura periodística, el supuesto atacante publicó detalles el 4–5 de enero en foros (BreachForums), asegurando haberse hecho con >1 TB y ~20 millones de registros, y Endesa comunicó a los clientes en torno al 12–13 de enero.
"El hacker […] publicó el 4 de enero en BreachForums […] afirmando haberse hecho con más de 1 TB […] de más de 20 millones de personas." — Xataka
Fuente: Xataka.
"Los clientes […] continúan recibiendo comunicaciones de la compañía tras el ciberataque […] aunque no contraseñas, según ha confirmado la propia empresa." — Cadena SER
Fuente: Cadena SER (Bilbao).
Desde dentro, lo que más nos chocó fue el desfase temporal: ya el 8 de enero en nuestros canales internos empezamos a oír el run-rún, y el aviso directo a clientes llegó días después. Esa ventana es justo cuando más phishing se cuela.
¿Qué riesgos reales hay para ti?
- Phishing y smishing hipercreíbles (con nombre, DNI, contrato, IBAN).
- Suplantación de identidad para abrir productos o tramitar cambios.
- Divulgación de datos en foros o marketplaces.
"La compañía advierte […] que el actor malicioso podría intentar suplantar la identidad, publicar datos o emprender acciones de phishing y spam." — Endesa
Fuente: Comunicado de Endesa.
En nuestro caso, lo primero que vimos fueron llamadas y SMS sospechosos pidiendo verificar “datos de facturación”. Si te suena, cuelga y ve a los canales oficiales.
Guía práctica inmediata (paso a paso)
- Desconfianza activa: no respondamos a enlaces o adjuntos no solicitados.
- Verificación por canal oficial: teléfono de Endesa +34 800 76 03 66 (para dudas).
- Monitoriza tu banca online: revisemos movimientos y activemos alertas.
- Activa 2FA en correo, banca y servicios críticos.
- Cambia contraseñas en servicios donde reutilizaste credenciales (aunque Endesa informe que no se filtraron).
- Conserva la comunicación de Endesa (email/carta) como prueba.
"Endesa no va a pedir datos personales ni bancarios por teléfono, correo o enlaces. […] Vigilar movimientos bancarios y guardar la carta de Endesa." — Cadena SER
Fuente: Cadena SER (Bilbao).
Extra útil: herramientas como Have I Been Pwned ayudan a comprobar si nuestro email apareció en otras brechas conocidas (no confirma específicamente este caso, pero suma contexto).
Cómo comprobar si nuestras credenciales han aparecido en filtraciones
- Comprobadores públicos de brechas (por email).
- Alertas de inicio de sesión y de operaciones bancarias.
- Revisar que no reutilizamos la misma contraseña entre servicios.
Reclamaciones y vías oficiales
- Endesa (atención y DPO): +34 800 76 03 66 y [email protected].
- AEPD: si detectamos uso indebido o falta de respuesta, podemos elevar reclamación.
"Endesa ha notificado a las autoridades competentes, incluyendo la AEPD, y mantiene seguimiento especial de sistemas." — Endesa
Fuente: Comunicado de Endesa.
Lo que se sabe (y lo que no) sobre el atacante
La prensa especializada recoge que el actor se hace llamar “Spain”, habló de >1 TB y ~20 M de registros, y que incluso intentó negociar por email.
"El ciberdelincuente […] afirmó haberse hecho con más de 1 TB […] y haber conseguido el acceso en menos de 2,5 horas." — Xataka
Fuente: Xataka.
"Un actor de amenazas publicó en un foro de la dark web que había extraído 1,05 TB con datos de más de 20 millones de personas." — Escudo Digital
Fuente: Escudo Digital.
Nota: Endesa no confirma públicamente esas cifras en su comunicado; las tratamos como alegaciones del atacante/medios.
Preguntas frecuentes
¿Se filtraron contraseñas en la filtración de datos de Endesa?
Endesa afirma que no se comprometieron contraseñas; aun así, recomendamos cambiar claves críticas y activar 2FA.
¿Qué hacer si mis datos (DNI/IBAN) de Endesa han sido expuestos?
Vigilemos banca online, sospechemos de llamadas/SMS/emails, y contactemos por canales oficiales (+34 800 76 03 66). Guardemos la notificación como prueba.
¿Cuándo avisó Endesa a los clientes afectados por la brecha?
Según la prensa, el atacante lo publicó el 4–5 de enero y las comunicaciones llegaron la semana siguiente.
¿Qué relación hay con Energía XXI?
Medios mencionan a Energía XXI como parte del contexto del incidente, pero el comunicado de Endesa no lo detalla. Seguiremos lo que confirme la compañía.
¿Cómo me protejo del phishing tras el ciberataque a Endesa?
Regla de oro: no compartimos datos por teléfono/email/SMS, no pinchamos enlaces dudosos, y verificamos con Endesa.
Conclusión
Como proveedores de hosting, vemos a diario que la superficie de ataque no perdona retrasos ni lagunas de comunicación. Esta brecha subraya tres ideas: rapidez, transparencia y higiene digital continua. Si nos mantenemos vigilantes y endurecemos autenticación, monitorización y cultura de desconfianza saludable, reducimos muchísimo el riesgo real.
¿Necesitas blindar tu web, panel y correo corporativo con detección temprana y 2FA gestionada?
En Bitralix endurecemos tu hosting con WAF, monitorización de fugas, DMARC y MFA en tu stack.