SIMODEF IconSIMODEF
Volver a Sala de Prensa
BRECHA DE DATOS MASIVA

Filtración Masiva en Energía XXI (Endesa): Hackers exponen datos bancarios de 20 millones de usuarios

Equipo SIMODEF
12 Enero, 2026
5 min de lectura
Logo Energía XXI afectada por ciberataque
Confirmado uno de los incidentes más graves del año. Energía XXI admite un "acceso no autorizado", mientras en la Dark Web se subasta 1 TB de datos con IBANs y CUPS de millones de clientes.

1. La Confirmación Oficial: "Incidente en Plataforma Comercial"

Energía XXI ha enviado un comunicado a sus clientes admitiendo formalmente el fallo de seguridad. La compañía reconoce un "acceso no autorizado e ilegítimo a su plataforma comercial".

Comunicado oficial de Energía XXI sobre el incidente de seguridad

Captura del comunicado enviado a los clientes afectados.

El alcance admitido: Confirman el compromiso de datos confidenciales como:

  • Datos identificativos básicos.
  • Datos de contacto.
  • DNIs y datos de contratos.
  • Posible exfiltración de IBANs (cuentas bancarias).

2. La Realidad en la Dark Web: 1 TB de Datos "Frescos"

La versión oficial contrasta con la brutalidad de la filtración en foros clandestinos. El actor de amenazas conocido como "spain" publicó el domingo 4 de enero una subasta alarmante.

Captura del foro en la Dark Web mostrando la base de datos de 1TB

Publicación en el foro de cibercrimen por el usuario "spain".

El Botín: Una base de datos de 1.055 GB (1 TB) que supuestamente contiene registros de más de 20 millones de personas. El atacante insiste en que es "fresh data, never seen before" (datos de enero de 2026), negando que sea un refrito de filtraciones antiguas.

3. Análisis Forense: Las "Llaves del Reino"

El análisis forense de los archivos listados en la captura revela la gravedad extrema del incidente. Los nombres de los archivos .sql expuestos son críticos:

Account_with_IBAN_CUPS_POSTAL.sql (20 GB)

El archivo más peligroso. Vincula IBAN + CUPS + Dirección. Permite fraudes de domiciliación directa y suplantación total.

Contact.sql (156 GB)

Gigabytes de teléfonos y emails listos para campañas de Phishing masivo.

4. Conclusión y Recomendaciones

Acción Inmediata Requerida

La combinación de DNI + IBAN + CUPS entrega a los criminales poder total para realizar slamming (cambios de compañía no consentidos) o vaciar cuentas.

  • Vigila tus movimientos bancarios diariamente.
  • Desconfía totalmente de llamadas de "tu eléctrica" ofreciendo descuentos.
  • Si detectas cargos extraños, devuelve el recibo inmediatamente.