Endesa Energía ha informado a la Agencia Española de Protección de Datos (AEPD) de una intrusión en sus sistemas que ha afectado a los datos de unos diez millones de clientes, según confirmaron fuentes del organismo estatal encargado de supervisar el cumplimiento de la normativa de protección de datos. La compañía comunicó el incidente después de detectar una brecha de seguridad que comprometía información sensible de su base de usuarios.
La empresa energética notificó a los afectados que el ataque había expuesto datos personales como números de DNI, información contractual y referencias vinculadas a medios de pago, incluidos códigos IBAN. Según la compañía, los sistemas de acceso y contraseñas no resultaron comprometidos, un aspecto que considera relevante para limitar el posible alcance del incidente. Pese a ello, el volumen de datos afectados sitúa el caso entre los mayores registrados en el sector energético.
Tras confirmar la brecha, la compañía ha trasladado a la AEPD los detalles del ataque y los primeros pasos adoptados para contenerlo. El organismo deberá evaluar ahora si la compañía actuó conforme a los plazos y obligaciones establecidos por el Reglamento General de Protección de Datos, que exige notificar este tipo de incidentes en un margen máximo de 72 horas desde su detección.
Especialistas en ciberseguridad han advertido del impacto prolongado que pueden tener filtraciones de esta magnitud. La firma ESET explicó que la mera comunicación del incidente no implica el final del riesgo, ya que la información comprometida puede ser reutilizada durante largos periodos con fines fraudulentos. Entre los posibles usos se incluyen suplantaciones de identidad, intentos de estafa o ataques dirigidos que explotan la relación de confianza entre los clientes y la empresa afectada.
Medidas adicionales
La compañía de seguridad subraya que los usuarios deben adoptar medidas de protección adicionales tras una brecha de este tipo. Entre las recomendaciones figura modificar cuanto antes las contraseñas de los servicios vinculados y activar sistemas de autenticación reforzada para evitar accesos no autorizados incluso en caso de que un tercero obtenga la clave principal.
ESET señala igualmente la importancia de revisar periódicamente movimientos bancarios, comunicaciones y actividades asociadas a las cuentas personales para detectar comportamientos anómalos. También recomienda consultar recursos en línea que permiten verificar si un correo electrónico o dato personal aparece en bases de datos filtradas, como servicios de búsqueda especializados en brechas de seguridad.