Endesa

Revisando mi correo electrónico me encuentro con un email de Endesa y mi reacción es pensar si será “phising”. Tras verificarlo, observo que la cuestión es más seria. Endesa ha confirmado haber sufrido un incidente de ciberseguridad en enero de 2026 que ha implicado un acceso no autorizado a datos personales de clientes, y ha procedido a notificarlo tanto a los afectados como a la Agencia Española de Protección de Datos (AEPD). Según la información oficialmente reconocida, los datos comprometidos incluyen, entre otros: DNI, datos identificativos, información contractual, CUPS y medios de pago (IBAN). Y no consta, por el momento, que se hayan visto afectadas contraseñas de acceso. Parece ser que el volumen de información extraída podría alcanzar cifras muy elevadas y afectar a millones de clientes, pero este extremo no ha sido confirmado públicamente por la compañía, por lo que conviene ser prudentes y ceñirse a los hechos acreditados. Endesa ha advertido del riesgo potencial de “phishing”, fraude y suplantación de identidad, aunque sostiene que, hasta la fecha, no se han detectado usos fraudulentos de los datos. Esta valoración, siendo relevante, no elimina el riesgo, especialmente cuando se trata de datos sensibles como DNI e IBAN, que permiten conductas delictivas sin necesidad de credenciales de acceso. Desde el punto de vista jurídico, el incidente abre varios frentes: - Protección de datos en aplicación directa del RGPD y la LOPDGDD, con especial atención al art. 32 RGPD (medidas de seguridad) y al régimen sancionador del art. 83. La AEPD deberá valorar si las medidas técnicas y organizativas fueron adecuadas. - Responsabilidad penal (del autor del ataque) ya que los hechos podrían encajar, en abstracto, en los arts. 197 y 264 del Código Penal (descubrimiento y revelación de secretos y daños informáticos). La concreción penal dependerá de la investigación y de la acreditación del acceso ilegítimo y su alcance real. - Responsabilidad civil pero recordemos que la eventual indemnización a los clientes exige prueba de daño efectivo, material o moral. A día de hoy, hablar de cuantías o de acciones colectivas es prematuro, aunque jurídicamente posible si el daño se acredita. Mientras tanto los usuarios debemos actuar con algunas medidas básicas —y nada extraordinarias en este tipo de escenarios— resultan prudentes como extremar la vigilancia ante comunicaciones sospechosas; monitorizar movimientos bancarios; no facilitar datos personales por canales no verificados. Desgraciadamente los incidentes de seguridad y las brechas de datos ya no son una excepción, sino una constante en la sociedad actual. Nos estamos acostumbrando a ser "haqueados". Pero la cuestión jurídica relevante no es solo que ocurra el ataque, sino cómo se previene, cómo se gestiona y sobre todo cómo se repara el daño cuando afecta a millones de ciudadanos. Habrá que seguir atento a la evolución del caso y, sobre todo, a la respuesta de la AEPD. Por cierto donde irán a parar todos nuestros datos sensibles? Se aceptan apuestas...