Si has recibido el aviso de Endesa/Energía XXI sobre una brecha, el riesgo principal no es “cambiar una contraseña”, sino evitar estafas creíbles (llamadas, SMS, cargos domiciliados) y blindar tu banca/móvil. Abajo tienes un plan claro: qué hacer hoy, qué vigilar durante las próximas semanas y cómo reclamar si hay impacto.
Qué ha pasado y por qué importa
Endesa y su comercializadora regulada Energía XXI han comunicado un acceso no autorizado a sistemas comerciales, con posible exposición de datos de clientes (y en algunos casos exclientes). En comunicaciones y publicaciones se ha mencionado la posible afectación de datos identificativos y de contacto, y en determinados casos DNI e IBAN, además de información contractual vinculada al suministro.
Lo importante: aunque se diga que “no se han comprometido contraseñas” en algunos comunicados, esto no elimina el riesgo, porque el fraude aquí se apoya en suplantación e ingeniería social (cuando el estafador ya conoce datos reales tuyos).
Riesgos reales para los afectados (los más frecuentes)
Vishing / smishing “dirigido”: llamadas y SMS muy creíbles
Si alguien conoce datos de tu contrato o personales, puede llamarte fingiendo ser la compañía para pedirte “verificación”, “regularización”, “devolución” o evitar un “corte”. El objetivo suele ser que des un código SMS, confirmes una operación o pulses un enlace.
Regla de oro: en una llamada entrante, no des datos ni códigos. Cuelga y contacta tú por canal oficial.
Cargos por adeudo domiciliado (SEPA) no reconocidos
El riesgo del IBAN filtrado no es solo un cargo puntual, sino la explotación de las vulnerabilidades estructurales del sistema de pagos europeo.
- Vulnerabilidad del modelo «Core»: En el esquema SEPA básico, el banco del cliente no tiene la obligación de verificar previamente si existe un mandato firmado antes de ejecutar el cobro. El control es totalmente a posteriori, lo que permite a los atacantes emitir recibos mediante empresas «pantalla» o mulas.
- La técnica del «Ping»: Los ciberdelincuentes suelen realizar cargos de prueba de importes mínimos (por ejemplo, 0,01€ o 1,00 €) para confirmar que la cuenta está activa y que el usuario no monitoriza saldos pequeños antes de lanzar un cargo mayor.
- Marco de protección legal: 8 semanas: Es el plazo para devolver recibos autorizados (domiciliaciones legítimas de las que te arrepientes o hay error). 13 meses: Es el plazo crítico para adeudos no autorizados (fraude puro donde no hay mandato firmado).
Acción recomendada: No basta con revisar; es necesario configurar una «Whitelist» o lista blanca en la banca online, bloqueando la entrada de cualquier nuevo emisor que no haya sido autorizado previamente por ti.
Alta de servicios, microcréditos o intentos de “duplicado de SIM”
La combinación de DNI + Teléfono + Datos de Facturación crea un escenario de «identidad completa» o Fullz.
- Usurpación de Identidad Financiera: Los atacantes aprovechan que muchas plataformas de microcréditos priorizan la rapidez sobre la seguridad en sus procesos de verificación (KYC). Con los datos de Endesa, pueden solicitar financiación a tu nombre, y a menudo la víctima solo lo descubre meses después al ser incluida en ficheros de morosidad como ASNEF o recibir reclamaciones de agencias de cobro.
- SIM Swapping (El ataque técnico): El delincuente contacta con tu operadora móvil suplantándote. Utiliza los datos filtrados (DNI, dirección e incluso el IBAN para confirmar titularidad) para solicitar un duplicado de tu tarjeta SIM alegando pérdida o robo.
- Intercepción de la Llave Maestra: Una vez que el atacante activa la nueva SIM, tu móvil perderá la cobertura de inmediato. En ese momento, él tiene el control total para recibir tus SMS de verificación bancaria (OTP), lo que le permite autorizar transferencias, cambiar contraseñas y vaciar tus cuentas.
- Acción recomendada: Es imperativo tramitar la autoprohibición de crédito a través del Fichero EFICAZ para que las entidades financieras bloqueen automáticamente cualquier solicitud con tu DNI
Plan de acción inmediato
Paso 1. Banca “en modo defensa”
La prioridad es configurar un perímetro de seguridad que impida el drenaje de fondos mediante cargos no autorizados o micro-pagos de prueba.
- Alertas de movimiento total: Configura las notificaciones push de tu App bancaria para avisar de cualquier movimiento desde 0,01€; los atacantes suelen realizar pequeños cargos («pings») para verificar si la cuenta está activa antes de ejecutar un fraude mayor.
- Lista Blanca de Domiciliaciones (Whitelist): Accede a la sección de «Recibos» y activa la opción de «Rechazar todos los recibos excepto los autorizados»; esto neutraliza el riesgo del esquema SEPA Core, donde el banco puede ejecutar cargos sin comprobar previamente el mandato firmado.
- Reducción de límites operativos: Ajusta temporalmente los límites diarios para transferencias y pagos con tarjeta a cantidades mínimas de subsistencia (ej. 300€); esto acota el daño máximo en caso de acceso no autorizado.
- Protocolo ante cargos sospechosos: Si detectas un adeudo extraño, solicita inmediatamente la devolución sistemática de adeudos no reconocidos y exige un número de incidencia para preservar la cadena de custodia de tu reclamación.
Paso 2. Teléfono y cuentas: evita “códigos” y vigila síntomas de SIM swapping
El control de tu línea móvil es el objetivo final de los ciberdelincuentes para interceptar los códigos de seguridad bancarios.
- Vigilancia de cobertura: Si sufres una pérdida súbita de señal o dejas de recibir SMS, contacta urgentemente con tu operadora desde otro terminal; podría ser un indicio de un duplicado fraudulento de tarjeta SIM utilizando tus datos filtrados (DNI e IBAN).
- La Regla de la Iniciativa: Bajo ninguna circunstancia compartas códigos OTP (One Time Password – contraseña de un solo uso) o autorices operaciones en una llamada recibida; cuelga y llama tú mismo al número oficial de tu banco o de Endesa para verificar la supuesta incidencia.
Paso 3. Higiene anti-phishing (sin paranoia, pero con método)
Adopta una postura de «Desconfianza por Defecto» (Zero Trust) ante cualquier comunicación que use datos de tu contrato eléctrico.
- Análisis de enlaces (Smishing): Ignora cualquier SMS con enlaces acortados o que genere una urgencia artificial (por ejemplo, «su suministro será cortado mañana»); Endesa nunca solicita claves ni accesos mediante estos enlaces para resolver brechas de seguridad.
- Contención tras un clic: Si has pulsado un enlace sospechoso, realiza un escaneo de seguridad en tu dispositivo y cambia las contraseñas críticas, especialmente si usabas la misma clave para el portal de Endesa y otros servicios sensibles.
- Inscripción en la Lista Robinson: Regístrate en este servicio de exclusión publicitaria; si estás inscrito y recibes una llamada comercial agresiva, puedes estar seguro de que se trata de una estafa, ya que las empresas legítimas consultan esta lista por obligación legal.
- Cierre de vías de crédito: Como medida de refuerzo, tramita tu alta en el Fichero EFICAZ (autoprohibición de préstamos) para evitar que soliciten microcréditos a tu nombre usando tu DNI y cuenta bancaria.
Qué guardar como prueba (esto marca la diferencia si luego reclamas: la base de tu defensa legal)
No basta con saber que tus datos han sido robados; hay que acreditar el nexo causal entre la brecha de Endesa y el perjuicio sufrido. Para ello, debes realizar una preservación forense básica de los siguientes elementos:
1. Comunicación oficial de la brecha (Endesa / Energía XXI)
- Conservación del original: No borres el email. Si es posible, guarda el archivo en formato .eml (en Outlook o Gmail, opción «Descargar mensaje»). Esto conserva las cabeceras de internet (headers), que contienen la dirección IP de origen y las firmas DKIM/SPF que demuestran que el correo es auténtico y no un phishing.
- Captura de pantalla íntegra: Si la comunicación fue por correo postal o área de cliente, escanea el documento o haz una captura donde se vea claramente la fecha y el remitente.
2. Evidencias de Ingeniería Social (SMS y Llamadas)
- Registro de llamadas: No borres el historial. Haz capturas donde se vea el número de teléfono, la fecha exacta, la hora y la duración de las llamadas sospechosas.
- Mensajes de texto (Smishing): Haz capturas de pantalla de los SMS recibidos. Importante: Asegúrate de que en la captura se vea el remitente (nombre o número) y el enlace (URL) que te enviaron.
- Grabaciones: En España, es legal grabar una conversación en la que tú participas. Si recibes una llamada sospechosa, grávala; será una prueba irrefutable de la sofisticación del engaño.
3. Trazabilidad Bancaria y Administrativa
- Extractos detallados: Si hay un cargo no reconocido, descarga el PDF oficial del banco donde aparezca el concepto completo, la referencia del adeudo SEPA y la fecha de ejecución.
- Justificantes de reclamación: Guarda copia de cada formulario enviado al banco, capturas de pantalla de chats de soporte o emails enviados al SAC (Servicio de Atención al Cliente). Exige siempre un número de incidencia o número de radicado.
4. El «Diario de Incidencias» (Cronograma de Hechos)
El daño moral y el tiempo perdido son indemnizables si están documentados. Crea un documento (Word o Excel) con:
- Bitácora de gestiones: «Día X, 10:30h: Llamada al banco (agente Juan P.). Me dicen que el cargo está en proceso. Tiempo: 15 min».
- Impacto personal: Anota si has tenido que pedir tiempo en el trabajo, si has sufrido ansiedad documentada o si has pasado horas cambiando contraseñas. Este «diario» ayuda al juez a cuantificar el daño moral más allá de la pérdida económica.
5. Certificación de Evidencias (Nivel Pro)
- Si el caso es de alta cuantía, se recomienda usar servicios de certificación de contenido (como Coloriuris o servicios notariales online) para dar fe de que el contenido de un email o una web no ha sido alterado desde una fecha determinada.
Cómo reclamar con el apoyo de LEGALIA
Si eres uno de los afectados por la brecha de Endesa, la estrategia jurídica no debe ser reactiva, sino proactiva y multidimensional. En LEGALIA gestionamos tu defensa en tres frentes críticos:
Vía Administrativa: Denuncia ante la AEPD
La Agencia Española de Protección de Datos (AEPD) debe sancionar la falta de diligencia de Endesa por vulnerar el Artículo 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD).
RGPD.
- Nuestra gestión: En LEGALIA redactamos y presentamos tu denuncia fundamentada en la falta de medidas técnicas adecuadas al riesgo objetivo (DNI + IBAN).
- Valor probatorio: Una resolución sancionadora es la prueba pericial más robusta para asegurar tu indemnización económica posterior.
Reclamación Bancaria: Recuperación de Fondos
Si los delincuentes ya han sustraído dinero de tu cuenta, aplicamos el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera
- Reembolso inmediato: Exigimos al banco la devolución del importe antes del final del día hábil siguiente a la notificación.
- Defensa contra la «Negligencia»: Desmontamos el argumento bancario de que el usuario fue descuidado, demostrando que el uso de datos filtrados (CUPS, dirección) vició tu consentimiento en el engaño.
Indemnización Civil por Daño Moral (Art. 82 RGPD)
No solo reclamamos lo robado; reclamamos por la pérdida de control de tu identidad.
- Miedo fundado: Litigamos basándonos en la jurisprudencia del Tribunal de Justicia de la Unión Europea (STJUE C-300/21 y C-340/21) que reconoce el temor a un uso ilícito futuro de tus datos como un daño inmaterial indemnizable, por la pérdida de control de DNI e IBAN y la zozobra digital
- Cuantificación: En LEGALIA documentamos tu «diario de incidencias» e informes de estrés para transformar una molestia en un daño inmaterial acreditado con derecho a indemnización (estimada entre 300€ y 3.000€) ya que bajo la doctrina del TJUE, es suficiente demostrar la zozobra y el perjuicio moral derivado de la pérdida de control de los datos financieros.
- Viabilidad: Individualizamos cada caso mediante diarios de incidencias y periciales, garantizando el rigor probatorio necesario para evitar condenas en costas (Art. 394 LEC).
Modelo de Reclamación Previa (Servicio LEGALIA)
Para los clientes de LEGALIA, iniciamos el proceso con esta reclamación formal extrajudicial dirigida al Servicio de Atención al Cliente de Endesa y Energía XXI.
Direcciones para el envío
Para ENDESA ENERGÍA S.A. (Mercado Libre)
- Dirección Postal (Sede Social): C/ Ribera del Loira, 60, 28042 – Madrid.
- Dirección Postal específica para Privacidad: Apartado postal 1128, 41080 – Sevilla.
- Correo Electrónico DPO:
dpo@endesa.esocontactodpo@endesa.es(este último habilitado específicamente tras el incidente de 2026). - Correo Atención al Cliente:
atencionalcliente@endesaonline.com.
Para ENERGÍA XXI (Mercado Regulado – PVPC)
- Dirección Postal (Sede Social): C/ Ribera del Loira, 60, 28042 – Madrid.
- Dirección Postal específica para Privacidad: Apartado de Correos nº 1167, 41080 Sevilla.
- Correo Electrónico DPO:
dpoc.exxi@energiaxxi.com. - Correo Atención al Cliente:
atencionalcliente_exxi@energiaxxi.com.
Recomendaciones de envío
- Burofax: Si buscas que la reclamación de indemnización tenga peso legal inmediato para una futura demanda, envía el escrito por Burofax con certificado de contenido y acuse de recibo a la dirección de Madrid (Ribera del Loira, 60). Es la prueba más sólida ante un juez de que han recibido el texto íntegro.
- Vía Digital: Si optas por el correo electrónico, utiliza un servicio de email certificado (a través de prestadores de servicios de confianza como Coloriuris o similares) o, en su defecto, solicita siempre el número de incidencia o registro de entrada.
- Canal Específico para este incidente: Según las comunicaciones internas de la compañía tras la brecha de enero, han reforzado el teléfono gratuito 800 760 366 para dudas sobre este ciberataque, pero no realices la reclamación solo por teléfono; siempre debe quedar constancia escrita.
- Copia a la AEPD: Si en un mes no tienes respuesta o es insatisfactoria, la dirección de la Agencia Española de Protección de Datos para tu denuncia es: Calle de Jorge Juan, 6, 28001 Madrid.
Solicita presupuesto sin compromiso
En LEGALIA ayudamos a afectados y empresas a:
- Activar un plan de contención (banco, evidencias, prevención de suplantación).
- Preparar reclamación ante AEPD y, si procede, estrategia frente a fraude bancario.
- Valorar viabilidad de acciones posteriores (individuales o colectivas) con base documental.
Si te ha llegado el aviso o has sufrido intentos de estafa, contáctanos y te diremos cuáles son los pasos con más sentido en tu caso. Analizamos tu caso, te ayudamos a preservar evidencia, activar medidas y, si procede, tramitar reclamaciones AEPD o al banco.
Contactad con nuestros expertos:
✉️ administración@legalia.com.es
Preguntas frecuentes (FAQ)
- 1) ¿Y si soy EXCLIENTE? También puedes estar afectado si tus datos constaban en sistemas comerciales. Aplica el mismo plan: alertas banco + cero códigos + guardar la notificación.
- 2) ¿Y si NO tengo domiciliación con Endesa? El riesgo principal pasa a ser suplantación (llamadas/SMS). Mantén alertas bancarias igualmente y extrema la regla “cuelga y llama tú”.
- 3) ¿Tengo que cambiar contraseñas? Si no usas la cuenta online o no hay indicios de acceso, la prioridad es fraude. Aun así, cambiar credenciales críticas (email/banca) y activar 2FA siempre es buena práctica.
- 4) Me han llamado “de Endesa” y saben mis datos, ¿cómo lo verifico? No verifiques en esa llamada. Cuelga y contacta tú por canal oficial. Nunca confirmes códigos ni autorizaciones por teléfono entrante.
- 5) ¿Qué hago si YA di un código SMS o pinché un enlace? Contacta de inmediato con tu banco (bloqueos), revisa movimientos, cambia contraseñas críticas y sigue pautas anti-phishing recomendadas por INCIBE.
- 6) ¿Cuándo compensa reclamar ante AEPD? Si has recibido notificación (y especialmente si hay intentos de estafa o daño), reclamar ayuda a dejar constancia y a encajar el expediente.
