Banco Santander ha sufrido este martes un grave ciberataque que ha afectado tanto clientes como trabajadores. La entidad financiera lo ha comunicado urgentemente a la Comisión Nacional del Mercado de Valores (CNMV) para que se valore esta información de cara a las inversiones y la cotización en los mercados.
La entidad reconoce haber sufrido "un acceso no autorizado a una base de datos", por lo que los atacantes han accedido a información de sus clientes en España, Chile y Uruguay. Además, se admite que los datos "todos los empleados y algunos ex empleados del grupo" han quedado también comprometidos.
En esa nota oficial enviada a la CNMV se explica, para calmar a los clientes, que "en la base de datos no hay información transaccional ni credenciales de acceso o contraseñas de banca por Internet que permitan operar con el banco".
Grado de afectación
Parece que tampoco están afectados "las operaciones y los sistemas de Santander" y que los clientes "pueden seguir operando con normalidad".
Como en anteriores ataques, el problema radicará en que los atacantes tendrían los nombres y datos privados de los clientes, a los ahora intentará engañar con correos y mensajes de móvil pidiendo acceso por seguridad a sus cuentas, y así conseguir sus claves de acceso o incluso las claves operativas. La entidad pedirá a sus clientes que mantengan un máximo cuidado a partir de ahora y en los próximos meses.
Los hechos ya están denunciados a las autoridades: "Lamentamos la situación y estamos informando proactivamente a los clientes y empleados directamente afectados. Hemos notificado oportunamente a reguladores y fuerzas de seguridad, y continuaremos colaborando con ellos"
Atentos a intentos de fraude online
Aunque según el banco las bases de datos no contenían información transaccional ni credenciales de acceso o contraseñas de banca por Internet, la Organización de Consumidores y Usuarios (OCU) advierte del posible uso de los datos personales en operaciones fraudulentas, especialmente a través de correos electrónicos, SMS o llamadas de teléfono que suplantan la identidad de empresas u organismos públicos con el fin de conseguir los datos bancarios y realizar cargos a costa del consumidor. Incluso haciéndose pasar por empleados del mismo Santander.
OCU urge además al Banco Santander a avisar personalmente a todos los clientes afectados sobre el tipo de información filtrada y los riesgos asociados. No obstante, la organización aprovecha para recordar que ningún pago que realice un usuario bajo los efectos de un engaño podrá ser considerado como autorizado y por lo tanto deberá ser reembolsado de forma automática por la entidad bancaria. Y es que la Autoridad Bancaria Europea no solo define como fraudulentas las transacciones de pago no autorizadas, también aquellas en las que se manipuló al pagador para admitir una orden de pago. Es más, el propio Código Civil, en su artículo 1.265 y siguientes considera que el consentimiento será nulo si se presta por error.
Es más, OCU exige al Banco de España que sancione a aquellas entidades financieras que, una vez informadas del fraude, nieguen el reembolso automático del dinero sustraído. La Organización considera que la carga de la prueba no debe recaer en el consumidor, sino en los proveedores de servicios de pago, que son quienes tienen las herramientas para prevenir y limitar los fraudes, como la verificación del IBAN con el nombre del beneficiario o los protocolos KYC.
Si (
No(
