Naturgy comunicó el 11 de mayo una brecha de seguridad tras un acceso no autorizado a los sistemas de un proveedor externo que gestionaba datos de clientes. La compañía ha avisado a la Agencia Española de Protección de Datos, a las autoridades competentes y a los usuarios potencialmente afectados, y ha activado su protocolo de respuesta.
La incidencia no golpeó de forma directa a los sistemas internos de la empresa, pero afecta aproximadamente al 3% de los clientes en España y puede comprometer datos identificativos, contractuales y bancarios. La paradoja del caso es que la intrusión se produjo fuera de la infraestructura propia de Naturgy, aunque el alcance de la información expuesta recae sobre sus clientes.
La filtración expuso datos bancarios sin comprometer credenciales de acceso
La empresa sostiene que el acceso no autorizado se limitó al entorno tecnológico de un proveedor externo. En esa brecha podrían haber quedado expuestos datos de identificación, información de contratos y datos bancarios, aunque Naturgy precisa que no se han filtrado credenciales de acceso.
El 11 de mayo de 2026 Naturgy notificó la brecha.
Esa diferencia condiciona el riesgo inmediato para los afectados. La ausencia de credenciales reduce la posibilidad de accesos directos a cuentas de usuario, pero la combinación de datos personales y bancarios abre la puerta a fraudes más selectivos mediante mensajes, llamadas o correos que aparenten proceder de la compañía o de una entidad financiera.
La OCU recuerda que el banco debe reembolsar un cargo fraudulento
La Organización de Consumidores y Usuarios advierte de que, en las semanas posteriores al incidente, los clientes pueden recibir intentos de suplantación de identidad personalizados. El objetivo de esos contactos suele ser obtener más información sensible o lograr que el usuario valide una operación fraudulenta.
La filtración afecta a cerca del 3% de los clientes en España.
En ese escenario, la OCU recuerda que un pago derivado de un fraude vinculado a la filtración no se considera autorizado. Si llega a producirse ese cargo, el banco debe reembolsar el dinero al cliente.
Además de comunicar la brecha con rapidez, las compañías están obligadas a proteger los datos personales y a adoptar medidas preventivas. Si no cumplen esas obligaciones, pueden exigirse responsabilidades por la gestión del incidente y por la protección de la información comprometida.
Entre los datos potencialmente comprometidos figuran información identificativa, contractual y bancaria de clientes de Naturgy en España.