«En la base de datos de afectados no existe información transaccional ni credenciales de acceso ni contraseñas de banca por internet que permitan operar con el banco». Así lo aseguró el Banco Santander este martes en el comunicado que compartió para anunciar que se había producido «un acceso no autorizado a una base de datos de la entidad alojada por un proveedor». Es decir, han sido el foco de un ciberataque. Sin embargo, lo que no han hecho público es qué datos de clientes y trabajadores (aparentemente sólo de España, Chile y Uruguay) se han visto comprometidos. «Lo que comunican es lo que no ha sido robado, que son las contraseñas, pero individualmente deben especificarlo», afirman desde la Unión de Consumidores de Cantabria (UCC).
El banco ha precisado que no sólo se ha notificado oportunamente esta brecha digital a reguladores y fuerzas de seguridad, sino que además «estamos informando de forma proactiva a los clientes y empleados directamente afectados». Es precisamente lo que «hemos exigido al Banco Santander y sabemos que lo van a hacer de inmediato», afirma Enrique Solís, abogado de la UCC. Se encarga de insistir en que «en esta comunicación deberán especificar a los usuarios cuáles son sus datos sustraídos y explicarles las medidas que se han adoptado para evitar cualquier daño». Además, el experto detalla que: “Dicen que las contraseñas no han sido vulneradas, pero si se han vulnerado los nombres, apellidos, dirección y DNI, puede haber un problema porque los hackers pueden venderlo a terceros para contrataciones fraudulentas. » ».
Por todo ello, Solís afirma que una vez la entidad contacte con los afectados «deben estar muy atentos a las posibles acusaciones que se puedan realizar y a los enlaces o mensajes que se les puedan enviar». Dado que esta brecha digital se produjo «el fin de semana» y la comunicación pública se hizo ayer, Solís dice que todavía no han recibido un gran número de consultas al respecto, aunque «seguramente empezarán a llegar en los próximos días». », avanza.
Solís resta importancia al asunto en la medida en que «este tipo de hackeos están a la orden del día desde hace años», aunque sí subraya que «en esta ocasión estamos hablando de que una entidad del tamaño del banco está afectada». Santander. Pero, eso sí, despoja de toda responsabilidad a la entidad que «suponemos que tiene todos los cortafuegos posibles y está funcionando correctamente notificando la situación en consecuencia», pero subraya que es un hecho que puede tener sus repercusiones «si» han visto datos. comprometidas como afiliaciones, domicilios, documentos de identidad o contratos bancarios o pólizas de seguros». Y desde la UCC destacan que «no resulta nada tranquilizador que incluso los Juzgados y Tribunales tengan sus cuentas bancarias en dicha entidad y hayan visto vulnerada su discrecionalidad. «
Pagos no autorizados
Por su parte, la Organización de Consumidores y Usuarios (OCU) también alerta de un «posible uso de datos personales» en operaciones «fraudulentas», especialmente a través de correos electrónicos, SMS o llamadas telefónicas que suplanten la identidad de empresas u organizaciones «con el fin de obtener datos bancarios y realizar cargos por cuenta del consumidor.» No obstante, la OCU recuerda que «ningún pago» que un usuario realice bajo los efectos de un engaño «podrá considerarse autorizado» y, por tanto, «deberá ser reembolsado automáticamente» por la entidad bancaria.
En este sentido, señala que la Autoridad Bancaria Europea (EBA) define como fraudulentas las operaciones de pago no autorizadas, así como aquellas en las que «el ordenante fue manipulado» para aceptar una orden de pago. De hecho, también sostiene que el Código Civil, en su artículo 1.265 y siguientes, considera que el consentimiento «será nulo si se presta por error».
«La OCU exige al Banco de España que sancione a aquellas entidades financieras que, una vez informadas del fraude, denieguen el reembolso automático del dinero sustraído. La Organización considera que la carga de la prueba no debe recaer en el consumidor, sino en los proveedores de servicios de pago, que son quienes tienen las herramientas para prevenir y limitar el fraude, como verificar el IBAN con el nombre del beneficiario o el KYC. protocolos”, concluye.