Una filtración en la cadena de proveedores de Naturgy expuso datos personales del 3% de sus clientes en España, según confirmó la Agencia de Ciberseguridad de Catalunya el 8 de mayo de 2026. Los registros afectados incluyen DNI, datos bancarios y el Código Universal de Punto de Suministro (CUPS). La compañía descartó una brecha directa en sus sistemas y aseguró que el incidente ya está resuelto.
¿Qué datos personales se filtraron realmente?
La filtración no involucró sistemas centrales de Naturgy, sino un proveedor externo comprometido la semana previa al anuncio. Los datos expuestos fueron:
- DNI y nombre completo de clientes
- Datos bancarios vinculados a domiciliaciones
- CUPS, clave para identificar instalaciones de gas y electricidad
¿Qué NO se filtró?
Naturgy confirmó explícitamente la ausencia de:
- Contraseñas o credenciales del Área Cliente
- Historial de consumo detallado
- Claves de acceso a plataformas digitales
Esto reduce el riesgo de suplantación directa en servicios online, pero no elimina la amenaza de phishing o ingeniería social.
¿Cómo afecta esta filtración a la economía española?
El impacto trasciende lo individual. Naturgy es uno de los tres mayores operadores energéticos del país, con más de 12 millones de clientes. Aunque solo el 3% (unos 360.000 usuarios) se vio afectado, el incidente activa costos ocultos:
- Costos de respuesta: auditorías técnicas, renovación de credenciales, notificaciones obligatorias a la AEPD
- Riesgo reputacional: caída potencial de confianza en servicios digitales del sector energético
- Efecto contagio: presión regulatoria creciente sobre proveedores TIC en el sector regulado
El sector energético español invirtió 182 millones de euros en ciberseguridad en 2025, según el Instituto Nacional de Ciberseguridad (INCIBE). Este caso evidencia que la inversión debe extenderse a toda la cadena de suministro, no solo a los sistemas propios.
¿Qué obligaciones legales activó la filtración?
El incidente desencadenó múltiples responsabilidades bajo el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPDGDD):
- Notificación a la AEPD en menos de 72 horas (cumplida)
- Comunicación directa a los afectados cuando existe riesgo alto para sus derechos (en curso)
- Evaluación de impacto en protección de datos (DPIA) obligatoria para procesos con proveedores externos
Además, la Agencia de Ciberseguridad de Catalunya intervino como autoridad competente por la ubicación del proveedor afectado, reforzando la competencia compartida entre autoridades autonómicas y nacionales.
¿Qué deben hacer los clientes afectados hoy mismo?
Naturgy habilitó dos canales oficiales para atención: [email protected] y el número gratuito 900 385 425. No obstante, los usuarios deben priorizar acciones proactivas:
- Revisar extractos bancarios en busca de cargos no autorizados
- Activar alertas de movimiento en cuentas asociadas
- No responder a llamadas o SMS que soliciten DNI, CUPS, o claves
- Cambiar contraseñas de otros servicios si se reutilizaron credenciales
Datos Clave
- El 3% de los clientes de Naturgy en España fueron afectados (~360.000 personas)
- La filtración ocurrió en un proveedor externo, no en los sistemas centrales de la compañía
- Se expusieron DNI, datos bancarios y CUPS, pero no contraseñas ni credenciales de acceso
- Naturgy notificó a la AEPD y activó protocolos de contención en menos de 24 horas
- La Agencia de Ciberseguridad de Catalunya emitió alerta preventiva por riesgo de phishing y suplantación
La tridimensionalidad de este caso es clara: desde el contexto actual —una oleada de ataques a proveedores del sector energético—, hasta su impacto económico —costos de respuesta y riesgo sistémico—, pasando por el marco legal —obligaciones RGPD y competencias autonómicas—. No es solo un fallo técnico: es una advertencia sobre la fragilidad de las cadenas de suministro digital en infraestructuras críticas.
