Estimado Sr. García,
En respuesta a su solicitud, le informamos de que, el incidente de seguridad fue detectado el6 de enero de 2026, momento en el que se identificó un acceso no autorizado e ilegítimo por parte de un tercero a determinados sistemas comerciales de la compañía, quien se habríadescargadoilegítimamentedeterminada información, afectandoasía la confidencialidad de los datos.
Debe tener en cuenta que, si usted recibió la comunicación, es porque sus datos personales figuran entre los que se encuentran afectados por el incidente de seguridad, conforme a la información disponible tras el análisis realizado.
La investigación sigue avanzando con el apoyo delas Fuerzas y Cuerpos de Seguridad del Estado, así como deexpertos en ciberseguridady asesores legales,para determinar con precisión todos los vectores implicados y para concretar con mayor precisión elalcance y elperiodo exacto de exposición.
Por este motivo, afecha de hoy, nopodemos facilitarle más información en relación con elperiodo exactoque sus datos personales se vieron afectadoscon el grado de certeza técnica exigible.
No obstante, según la información preliminar, el 6 de enero de 2026 fue cuando se pudo determinar que un tercero no autorizado había accedido, de manera ilegítima, a nuestros sistemas y había exfiltrado ciertos datos personales contenidos en ellos, procediendo a su bloqueo inmediatamente tras su detección.
Asimismo, procede informarle de que, a día de hoy, la investigación refleja que el actor maliciosotuvo acceso y pudo haber exfiltradolas siguientes categorías de datos personales:
Datos identificativos básicos (como elnombre y apellidos).
Datos de contacto (como elteléfono,ladirección postalo elcorreo electrónico).
Datosidentificativosdedocumentosoficiales(númerodeDNIodocumentoequivalente).
Datos relativos a contratos energéticos(como elCUPS).
Datos bancarios (IBAN).Para su tranquilidad, no se han visto comprometidos datos de tarjetas bancarias.
Es importante diferenciar entre un pago domiciliado en cuenta bancaria (IBAN) y un cargo con tarjeta. Un IBAN únicamente permite la emisión de recibos domiciliados conforme a un mandato previo y autorizado, y dichos recibos pueden ser devueltos por el titular a través de su entidadbancaria si no son reconocidos. En ningún caso el conocimiento del IBAN permite realizar cargos con tarjeta ni acceder libremente a la cuenta.
Para su tranquilidad,le informamos queno se han visto comprometidos datos de tarjetasbancariasni tampococopias dedocumentos,odatos de accesoycontraseñas.
Por otro lado, le confirmamos que, nada más detectarse el incidente, se activarontodos los protocolos de seguridad, entre ellos:
Bloqueo inmediato de accesos comprometidos.
Análisis de logs y monitorización especial continua.
Activación de planes internos de respuesta y contención.
Notificación a las autoridades competentes, incluida laAgencia Española de Protección de Datos (AEPD).
Comunicación individualizada a las personas afectadas.
Colaboración activa con las Fuerzas y Cuerpos de Seguridad del Estado.
Asimismo, le confirmamos que la valoración preliminar realizada indica queno existe constancia deque se haya materializadoun uso fraudulento desusdatos, y que resultapoco probableque se materialice un riesgo altopara los derechos y libertades de las personas afectadas.
No obstante, se recuerda que el acceso no autorizado podría permitir intentos de:
Suplantacióndeidentidad
Publicaciónnoautorizadadedatos
Phishing ocampañasde spamdirigidas
Por lo tanto, para tratar de evitar esas conductas le aconsejamos que se mantenga alerta y preste especial atención al recibir correos electrónicos, correspondencia o llamadas telefónicas inesperadas y sospechosas. Además, le recomendamos que no proporcione datos personales ni información sensible de ningún tipo a personas cuya identidad no pueda verificar de primera mano y que nos comunique cualquier anomalía que pudiera detectar al respecto, y si detecta cualquier cargo no reconocido, contacte de inmediato con su entidad financiera y póngalo en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado.
Como hemos indicado, el incidente de seguridad ha sidonotificado a la Agencia Española de Protección de Datos, cumpliendo con la normativa aplicable.La notificación incluye el número total de afectados, aunqueno se trata de un listado individualizado por persona.
Por último, hemos implementado y seguiremos implementando medidas técnicas y organizativas para paliar, en la medida de lo posible, los efectos del incidente, así como para evitar que incidentes similares puedan volver a ocurrir.
Le mantendremos informado de cualquier asunto relevante relacionado con este incidente y rogamos disculpe cualquier inconveniente que este incidente pueda ocasionarle, reiterándole nuestro compromiso con la seguridad y con el cumplimiento de la normativa de protección de datos.
No obstante, le informamos de que no está prevista ninguna compensación.
Quedamos, como siempre, a su disposición para cualquier consulta relacionada con el tratamiento de sus datos personales y aprovechamos la ocasión para saludarle atentamente,
Protección de Datos Personales
Apdo. de Correos 1128 – 41080 (Sevilla)
solicitudeslopd@endesa.es
