La seguridad del Banco Santander, de nuevo en entredicho: Hackers venden datos robados de clientes y empleados

Tal y como viene informando este medio, los últimos meses no han sido buenos para el Banco Santander en cuestión de seguridad, a pesar de haber mejorado sus beneficios un 11% en el primer trimestre de 2024, alcanzando los 2.852 millones de euros de ganancias.

La entidad de crédito presidida por Ana Patricia Botín informó hace dos semanas a la Comisión Nacional del Mercado de Valores (CNMV) de que tuvo "recientemente conocimiento", sin especificar la fecha, de un acceso no autorizado a una base de datos de la entidad alojada en un proveedor. 

El Santander ‘se puso la venda’ para evitar la herida bursátil al afirmar que "implementó de inmediato medidas para gestionar el incidente, como el bloqueo del acceso a la base de datos y un refuerzo de la prevención contra el fraude para proteger a los clientes".

Tras la investigación llevada a cabo, la multinacional confirmó que los hackers habían accedido a información de clientes de Santander Chile, España y Uruguay, y de todos los empleados y algunos exempleados del grupo. "En el resto de mercados y negocios de la entidad no hay datos de clientes afectados", apuntaron. 

Ahora, el grupo de hackers conocido como ‘ShinyHunters’ ha puesto a la venta los datos personales de clientes y empleados del banco presidido por Ana Patricia Botín. Esta misma banda también es responsable de otro ataque informático reciente, en este caso a la empresa de venta de entradas para eventos Ticketmaster, que podría afectar a 560 millones de usuarios del portal web, según reveló el diario Financial Times.

Ana Patricia Botín, presidenta del Banco Santander

El anuncio de venta de los datos del Banco Santander fue realizado en un foro de la conocida como ‘Dark Web’, ofreciendo información como números de cuenta de 30 millones de clientes, números de tarjeta de crédito de 28 millones, balances de seis millones de cuentas e información personal de empleados. 

Según han revelado diversos medios de comunicación, el grupo de hackers solicita dos millones de dólares por esta información y deja abierta la posibilidad de que el propio Banco Santander la compre. "Santander puede adquirir la información si lo desea", señalaron en el anuncio.

El peligro tras el robo de datos del Banco Santander

Ante el reciente ciberataque, son cada vez más voces las que señalan que tras los hackeos de datos personales y financieros, es común que se produzcan una ola de estafas utilizando técnicas como phishing, smishing y vishing. Los ciberdelincuentes suelen utilizar los datos obtenidos para realizar estafas tipo 'falso agente', donde se hacen pasar por entidades legítimas para obtener más información confidencial o realizar cargos económicos. 

Estos datos también pueden terminar en la mencionada ‘Dark Web’, donde se venden a otros delincuentes para utilizarlos en robos de identidad, fraudes financieros, ingeniería social, espionaje corporativo, entre otros propósitos ilícitos. 

El grupo de hackers ShinnyHunters roba datos de clientes del Banco Santander

Como ya informó este medio, al menos, en la base de datos no hay información transaccional ni credenciales de acceso o contraseñas de banca por internet que permitan operar con el banco, por lo cual las operaciones y los sistemas de Santander no están afectados y los clientes pueden seguir operando con seguridad. 

El Santander lamentó la situación y aseguró estar informando "proactivamente a los clientes y empleados directamente afectados". "Hemos notificado oportunamente a reguladores y fuerzas de seguridad, y continuaremos colaborando con ellos", apostillaron. 

La pronta comunicación del banco a las autoridades financieras no fue casual, ya que las entidades están obligadas a informar rápidamente sobre eventos cibernéticos o exponerse a multas significativas. Un ejemplo de este tipo de represalias fue Abanca, multada por el Banco Central Europeo por 3,15 millones de euros por retrasarse 46 horas en reportar un incidente de seguridad en internet en 2019.

El año empezó mal para el Banco Santander

2024 arrancó con duro revés para el Banco Santander a cuenta de una información del Financial Times sobre la filial británica del banco presidido por Ana Patricia Botín, Santander UK, que cobijó una cuenta bancaria que facilitó que el Régimen iraní sortease las sanciones internacionales para mover dinero a nivel global. 

El Gobierno de Estados Unidos lleva varios años denunciando que Irán extiende su poder a nivel global utilizando compañías petroquímicas pertenecientes al Régimen islámico, que cuenta con empresas pantalla en países occidentales que se nutren de operaciones surgidas en Asia. 

Tal y como informó el emblemático diario británico, Santander UK y su principal competidor (el banco Lloyds) tuvieron una cuenta de Pisco UK, que supuestamente era propiedad en su totalidad de un ciudadano británico llamado Abdollah-Siauash Fahimi y, tal y como ha probado la web opositora iraní WikiIran, Pisco está bajo el control de Petrochemical Commercial Company (PCC). 

Esta última es propiedad del Estado iraní y "formaba parte de una red a la que EEUU acusa de recaudar cientos de millones de dólares para la Fuerza Quds de la Guardia Revolucionaria Iraní y de trabajar con agencias de inteligencia rusas para recaudar dinero para las milicias iraníes", cuenta Financial Times. 

El medio explica que la división británica de PCC ha seguido operando desde una oficina en Grosvenor Gardens, en el barrio londinense de Belgravia, recurriendo a una compleja red de empresas pantalla en Gran Bretaña y otros países.

El Banco Santander sufre un ciberataque 

Otros escándalos similares relacionados con fallos de seguridad que favorecieron a Irán le costaron sanciones a bancos como Standard Chartered, que tuvo que pagar más de 1.000 millones de dólares, y UniCredit, que tuvo que abonar 1.300 millones. 

El Santander ha filtrado que ha cerrado la cuenta de Pisco UK pese a señalar que no puede "hacer comentarios sobre relaciones específicas con clientes. Santander cumple con sus obligaciones legales y reglamentarias, y estamos muy centrados en el cumplimiento de las sanciones".

Posteriormente, la multinacional ha cambiado el silencio por el desmentido: "Santander no ha incumplido la normativa estadounidense sobre sanciones impuestas a terceros de acuerdo con nuestra investigación. El banco cuenta con políticas y procedimientos para asegurar que se cumplen los requisitos relativos a las sanciones. Santander continuará colaborando proactivamente con las autoridades británicas y estadounidenses". 

Un informe de Bankinter explica que "el problema es que este tipo de noticias suele conllevar una investigación por parte del supervisor bancario que audita los procedimientos de control y cumplimiento normativo de las entidades", lo cual facilita que se muestren "deficiencias en el control de las operaciones, lo que podría traducirse en sanciones económicas".

La seguridad como 'bandera'

Los problemas del Santander golpean contra el discurso de Ana Patricia Botín, que alardeaba de la seguridad de la compañía que preside y que ahora está centrada en remover su cúpula tras el nombramiento de Petri Nikkilä, nuevo consejero delegado global de Openbank y responsable del negocio de consumo no-auto de Digital Consumer Bank.

La noticia sobre Irán y la pérdida de datos también 'arruina' el bombo generado por el propio banco tras conocerse que es una de las empresas más admiradas del mundo, según el ranking anual publicado por la revista estadounidense Fortune. 

La lista reconoce a las empresas mejor valoradas entre las firmas más grandes del mundo tras hacer encuestas a más de 15.000 directivos, consejeros y analistas. Santander ocupa el séptimo lugar entre los bancos más admirados del mundo.