UswitchSpain Logo
UswitchSpain

Brecha de datos y ciberataque de Endesa: Qué ha pasado y qué deben saber los clientes

Explicación de la brecha de datos y el ciberataque de Endesa | Actualización del sector

El mayor proveedor de electricidad de España, Endesa, se ha enfrentado a un serio escrutinio sobre la seguridad de los datos de sus clientes tras una importante multa regulatoria y un ciberataque más reciente que afectó a sus sistemas comerciales.

En conjunto, estos incidentes han planteado dudas sobre la seguridad con la que las grandes empresas energéticas protegen los datos personales y financieros de millones de clientes.

Aunque Endesa sigue siendo uno de los proveedores de electricidad dominantes en España, los acontecimientos ponen de relieve una cuestión cada vez más importante en el mercado energético moderno: la seguridad de los datos en las empresas de servicios públicos.

La multa de 6,1 millones de euros por el RGPD

A finales de 2023, la Agencia Española de Protección de Datos (AEPD) impuso una importante sanción a Endesa tras identificar graves deficiencias en sus sistemas de protección de datos.

La investigación determinó que se habían expuesto los datos personales de aproximadamente 6 millones de clientes debido a medidas de seguridad inadecuadas.

According to the regulator, the failures included:

  • salvaguardas técnicas insuficientes para proteger las bases de datos de los clientes
  • debilidades en los sistemas internos que manejan los datos de los contratos
  • fallos a la hora de garantizar adecuadamente la confidencialidad de la información personal

La AEPD dictaminó que Endesa no había implementado los controles de seguridad adecuados exigidos por el Reglamento General de Protección de Datos (RGPD) de la UE.

Como resultado, la compañía recibió una multa de 6,1 millones de euros, una de las mayores penalizaciones por protección de datos impuestas en el sector energético español.

Según se informa, la información expuesta incluía detalles de identificación personal y datos vinculados a contratos de electricidad y gas.

Ciberataque de 2026 a los sistemas de clientes

Más recientemente, en enero de 2026, Endesa confirmó que había sufrido un ciberataque que afectó a los sistemas utilizados para gestionar los contratos de los clientes.

Según se informa, la brecha permitió el acceso no autorizado a una plataforma comercial conectada a los datos de las cuentas de los clientes.

Potential Data Exposure:

  • nombres de clientes y datos de contacto
  • DNI o números de identificación
  • información de los contratos
  • datos de cuentas bancarias, incluidos los números IBAN

Investigadores de seguridad informaron posteriormente que millones de registros se ofrecieron supuestamente a la venta en foros de la 'dark web', aunque el número exacto de clientes afectados no ha sido confirmado oficialmente.

Endesa presta servicio actualmente a unos 10 millones de clientes de electricidad en España, lo que significa que el incidente podría afectar potencialmente a una parte significativa de su base de usuarios.

Qué ha hecho Endesa

Tras el ciberataque, la compañía declaró que había tomado medidas inmediatas para asegurar sus sistemas.

  • bloqueo de los puntos de acceso comprometidos
  • inicio de una investigación interna de ciberseguridad
  • notificación a las autoridades de protección de datos de España
  • información a los clientes potencialmente afectados por la brecha
También se advirtió a los clientes de que extremaran las precauciones ante correos electrónicos de 'phishing' o llamadas telefónicas sospechosas que fingieran proceder de Endesa.

¿Podrían producirse más sanciones?

En el momento de redactar este artículo, todavía no se ha anunciado ninguna multa regulatoria por el ciberataque de 2026.

Sin embargo, es probable que el incidente sea revisado por la AEPD en virtud de las normas del RGPD. Si los reguladores determinan que las medidas de seguridad fueron insuficientes, podrían producirse sanciones adicionales.

Según la legislación de la UE en materia de protección de datos, las multas pueden alcanzar hasta los 20 millones de euros o el 4% de la facturación anual global de una empresa, lo que sea mayor.

Por qué esto es importante para los clientes de energía

Los proveedores de energía disponen de una cantidad significativa de datos sensibles de los clientes, como datos de identificación, direcciones, historial de facturación e información bancaria.

A medida que la industria se digitaliza cada vez más, la ciberseguridad se ha vuelto tan importante como el precio y la fiabilidad del servicio.

Incidentes como este ponen de relieve por qué los clientes deben ser siempre cautelosos al recibir correos electrónicos o llamadas inesperadas relacionadas con su cuenta de energía.

Consejos para los clientes

Para asegurar que su contrato de electricidad no se cambie sin su total comprensión, siga estas mejores prácticas de seguridad:

Para obtener más información sobre cómo proteger su cuenta de energía y entender cómo ocurren los cambios no autorizados, lea nuestra guía completa sobre Seguridad de la Cuenta de Energía en España.

  • vigilar tu cuenta bancaria para detectar transacciones inusuales
  • ignorar correos electrónicos inesperados que soliciten datos personales
  • verificar las comunicaciones directamente a través de los canales oficiales de Endesa
  • cambiar las contraseñas asociadas a tu cuenta de energía

Perspectiva del sector

Aunque Endesa no es la única empresa de servicios públicos que se enfrenta a retos de ciberseguridad, el caso demuestra la magnitud del riesgo que supone para las empresas gestionar millones de registros de clientes.

Para los consumidores, la transparencia y las prácticas sólidas de protección de datos se están convirtiendo en un factor cada vez más importante a la hora de elegir un proveedor de energía.

Sobre Uswitch Energy

Uswitch Energy ofrece un análisis independiente de las tarifas eléctricas en España y ayuda a los hogares y a las empresas a entender sus costes energéticos.

Análisis gratuito de la factura de la luz

Preguntas frecuentes

¿Qué datos se expusieron en la brecha de Endesa?

Según se informa, la información expuesta incluía nombres, números de DNI, datos de contacto, información de contratos y, en algunos casos, datos de cuentas bancarias, incluidos los números IBAN.

¿Cuántos clientes de Endesa se vieron afectados?

Una multa anterior del RGPD afectó a unos 6 millones de clientes. En el caso del ciberataque de 2026, aunque al parecer hubo millones de registros implicados, el número exacto de personas afectadas no ha sido confirmado oficialmente.

¿Fue Endesa multada por la brecha?

Sí, Endesa recibió una multa de 6,1 millones de euros de la AEPD por fallos de seguridad que afectaron a 6 millones de clientes. También se espera que los reguladores revisen el ciberataque más reciente de 2026.

¿Qué deben hacer ahora los clientes de Endesa?

Los clientes deben vigilar sus cuentas bancarias para detectar actividades sospechosas, ignorar solicitudes inesperadas de datos personales y actualizar las contraseñas asociadas a sus cuentas de energía de inmediato.

Guías relacionadas

See all guides

Precio de la Luz en España Explicado (Costes kWh y Tarifas)

Descubre cómo funcionan los precios de la electricidad en España, el coste por kWh, las tarifas por tramos horarios (P1, P2, P3) y por qué cambian cada día.

Read more

Cómo funcionan los precios de la electricidad en España | UswitchSpain

Entienda los factores que influyen en los precios de la electricidad en España, desde los mercados mayoristas hasta la disponibilidad de energía renovable, y por qué fluctúan las facturas.

Read more

España vs UE: Generación de Energía Renovable (1990–Actualidad)

Observa cómo ha crecido la generación de electricidad renovable en la UE-27 desde la década de 1960 con nuestra visualización interactiva de datos.

Read more

¿Subirán los precios de la energía en España por el conflicto en Irán? | UswitchSpain

El aumento de las tensiones en Oriente Medio ha impulsado los precios al alza. Conoce cómo afectará esto a la luz, al gasoil y al butano en España.

Read more