La comercializadora regulada Energía XXI ha comunicado oficialmente a sus clientes la detección de un incidente de seguridad informática que permitió el acceso no autorizado a su plataforma comercial, con posible exposición de datos personales sensibles. Horas después, algunos usuarios han detectado en sus bandejas de spam un segundo correo muy similar, esta vez atribuido a Endesa Energía, lo que ha levantado sospechas sobre un posible intento de phishing aprovechando el incidente real.
Detalles confirmados del incidente en Energía XXI
Según la comunicación oficial enviada por Energía XXI, un actor malicioso habría tenido acceso no autorizado a datos de clientes relacionados con contratos energéticos. Entre la información potencialmente comprometida se encuentran:
- Datos identificativos básicos
- Datos de contacto
- Documento Nacional de Identidad (DNI)
- Información contractual
- Posiblemente datos bancarios (IBAN)
La compañía ha aclarado que no se han visto comprometidas contraseñas ni credenciales de acceso, y que tras detectar el incidente se activaron de inmediato los protocolos de seguridad, incluyendo el bloqueo de accesos, análisis de logs y refuerzo de las medidas técnicas y organizativas.
El incidente ha sido notificado a las autoridades competentes, incluida la Agencia Española de Protección de Datos (AEPD).
Aparición de un segundo correo atribuido a Endesa: ¿comunicación legítima o phishing?
Posteriormente, algunos clientes han recibido —o han visto bloqueado por los filtros de spam— un correo prácticamente idéntico en estructura y contenido, supuestamente enviado por Endesa Energía. Este segundo mensaje replica casi palabra por palabra el comunicado de Energía XXI, incluyendo:
- La descripción del acceso no autorizado
- La mención a posibles datos comprometidos (DNI, contratos e IBAN)
- La notificación a la AEPD
- Recomendaciones genéricas de seguridad
Sin embargo, este segundo correo presenta varios elementos que incrementan el nivel de sospecha.
Análisis técnico y de contenido: indicios claros de phishing
Tras analizar el segundo mensaje, se detectan los siguientes indicadores de riesgo:
1. Clasificación automática como spam
El propio sistema de correo del usuario ha identificado el mensaje como sospechoso, lo que indica problemas de reputación del dominio, estructura o cabeceras.
2. Uso de enlaces de tracking externos
El correo incluye múltiples enlaces con dominios de seguimiento (mn-media-02.enel.com) y píxeles de tracking invisibles, una técnica habitual en campañas de marketing… pero también muy usada en phishing para verificar correos activos.
3. Contenido genérico y reutilizado
El texto es prácticamente idéntico al comunicado de Energía XXI, adaptado mínimamente a Endesa. Esto es típico de campañas de phishing oportunista, que reutilizan comunicados reales para ganar credibilidad.
4. Contexto temporal sospechoso
El envío coincide inmediatamente después de hacerse pública la brecha de Energía XXI, un patrón clásico de phishing reactivo, donde los atacantes explotan el miedo y la urgencia del usuario.
5. Riesgo indirecto aunque no solicite datos
Aunque el correo no pide directamente credenciales ni datos bancarios, prepara el terreno psicológico para futuros mensajes más agresivos (segunda fase de phishing), donde sí se podrían solicitar confirmaciones o “verificaciones de seguridad”.
Recomendaciones de seguridad para los afectados
Ante este escenario, los expertos recomiendan:
- ❌ No hacer clic en ningún enlace del segundo correo
- ❌ No responder ni descargar imágenes externas
- ✔️ Acceder únicamente a la web escribiendo manualmente la dirección oficial
- ✔️ Vigilar movimientos bancarios durante las próximas semanas
- ✔️ Desconfiar especialmente de correos que pidan “verificar datos” o “confirmar identidad”
- ✔️ Denunciar el correo sospechoso como phishing
En caso de duda, Endesa indica como canal oficial el teléfono 800 760 366 y el correo de su Delegado de Protección de Datos: contactodpo@endesa.es.
Conclusión
Todo apunta a que el primer correo de Energía XXI es legítimo y responde a una obligación legal de notificación tras una brecha de datos. Sin embargo, el segundo correo atribuido a Endesa presenta múltiples indicios compatibles con una campaña de phishing, posiblemente diseñada para explotar la brecha real y preparar ataques más dirigidos en los próximos días o semanas.
