Estimado/a,
En respuesta a su solicitud, le informamos de que, el incidente de seguridad fue detectado el 6 de enero de 2026, momento en el que se identificó un acceso no autorizado e ilegítimo por parte de un tercero a determinados sistemas comerciales dela compañía,quien se habría descargado ilegítimamente determinada información, afectando así a la confidencialidad de los datos.
Debe tener en cuenta que, si usted recibió la comunicación, es porque sus datos personales figuran entre los que se encuentran afectados por el incidente de seguridad, conforme a la información disponible tras el análisis realizado.
La investigación sigue avanzando con el apoyo de las Fuerzas y Cuerpos de Seguridad del Estado, así como de expertos en ciberseguridad y asesores legales, para determinar con precisión todos los vectores implicadosypara concretar con mayor precisión el alcance y el periodo exacto de exposición.
No obstante,a día de hoy, la investigación refleja que el actor malicioso tuvo acceso y pudo haber exfiltrado las siguientes categorías de sus datos personales:
· Datos identificativos básicos (como su nombre y apellidos).
· Datos de contacto (como el teléfono, la dirección postal o el correo electrónico).
· Datos identificativos de documentos oficiales (número de DNI o documento equivalente).
· Datos relativos a contratos energéticos (como el CUPS).
· Datos bancarios (IBAN).
En cualquier caso, le informamos que no se han visto comprometidos datos de tarjetas bancarias ni tampoco copias de documentos, o datos de acceso y contraseñas.
Es importante diferenciar entre un pago domiciliado en cuenta bancaria (IBAN) y un cargo con tarjeta. Un IBAN únicamente permite la emisión de recibos domiciliados conforme a un mandato previo y autorizado, y dichos recibos pueden ser devueltos por el titular a través de su entidadbancaria si no son reconocidos. En ningún caso el conocimiento del IBAN permite realizar cargos con tarjeta ni acceder libremente a la cuenta.
Por otro lado, le confirmamos que, nada más detectarse el incidente,se activaron todos los protocolos de seguridad, entre ellos:
· Bloqueo inmediato de accesos comprometidos.
· Análisis de logs y monitorización especial continua.
· Activación de planes internos de respuesta y contención.
· Notificación a las autoridades competentes, incluida la Agencia Española de Protección de Datos (AEPD).
· Comunicación individualizada a las personas afectadas.
· Colaboración activa con las Fuerzas y Cuerpos de Seguridad del Estado.
Por último, le confirmamos que la valoración preliminar realizada indica que no existe constancia de que se haya materializado un uso fraudulento de sus datos, y que resulta poco probable que se materialice un riesgo alto para los derechos y libertades de las personas afectadas.
No obstante, se recuerda que el acceso no autorizado podría permitir intentos de:
· Suplantación de identidad
· Publicación no autorizada de datos
· Phishing o campañas de spam dirigidas
Por lo tanto, para tratar de evitar esas conductas le aconsejamos que se mantenga alerta y preste especial atención al recibir correos electrónicos, correspondencia o llamadas telefónicas inesperadas y sospechosas. Además, le recomendamos que no proporcione datos personales ni información sensible de ningún tipo a personas cuya identidad no pueda verificar de primera mano y que nos comunique cualquier anomalía que pudiera detectar al respecto, así como a los Cuerpos y Fuerzas de Seguridad del Estado.
Como hemos indicado, el incidente de seguridad ha sido notificado a la Agencia Española de Protección de Datos, cumpliendo con la normativa aplicable. La notificación incluye el número total de afectados, aunque no se trata de un listado individualizado por persona.
Quedamos, como siempre, a su disposición para cualquier consulta relacionada con el tratamiento de sus datos personalesy aprovechamos la ocasión para saludarle atentamente
