Cuidado si eres cliente del Banco Santander: así te afecta el 'hackeo' que ha sufrido

Publicado el 16/05/2024 por Diario Tecnología Artículo original

Banco Santander informó recientemente sobre un «acceso no autorizado» a una base de datos de la entidad alojada en uno de sus proveedores, lo que podría tener como consecuencia el robo de información de los clientes. Los ciberdelincuentes podrían aprovechar esta situación para comenzar a realizar campañas de estafas más dirigidas, tanto por SMS como por llamada telefónica. La entidad bancaria, que ha informado de este acceso no autorizado a su base de datos a la Comisión Nacional del Mercado de Valores (CNMV), tal y como exige la ley en este tipo de casos, ha apuntado a que este solo se ha extendido a España, Chile y Uruguay. El ataque, además, habría afectado a todos los empleados de la compañía, así como a algunos exempleados del grupo. Noticias Relacionadas estandar No Las siete cosas que hace un cibercriminal cuando explota tus datos personales y bancarios estandar No La funcionalidad de Whatsapp que usan los estafadores para robarte el dinero de tu cuenta bancaria Marina Ortiz Los agentes maliciosos involucrados en este robo de información «posiblemente han encontrado una vulnerabilidad en el proveedor de la base de datos e intentado escalar privilegios, además de robar la información de los clientes», aclara el director del Centro de Operaciones de Seguridad de BeDisruptive, Roberto Lara, en declaraciones recogidas por Europa Press. Debido a que no hay información transaccional ni credenciales de acceso o contraseñas de banca en riesgo -debido a que estas «probablemente estén en sus propias bases de datos, con un sistema de seguridad más robusto que el del proveedor», según el experto-, es posible que los ciberdelincuentes aprovechen la información de los clientes que ya tienen en sus manos para cometer fraudes mediante el empleo de estafas por llamada telefónica, conocidas como ' vishing ', o por SMS, a las que se llama 'smishing'. En los casos de 'vishing' los criminales, durante la llamada, se harían pasar por un empleado o agente del banco. El objetivo pasa por engañar al usuario para robarle información sensible, como las contraseñas de acceso a la banca online o de la tarjeta de crédito. El 'smishing', mientras tanto, es una técnica que como la anterior también procede del 'pshishing' y que consiste en el envío de mensajes de texto o SMS a las víctimas simulando ser la entidad bancaria para acceder a más datos confidenciales, como son los que dan acceso a la banca online o los de la tarjeta. Pueden emplear esta información para realizar cargos económicos. Ambas forman parte de la estafa conocida como 'falso agente', según el directivo, que ha comentado que ante escenarios como este es habitual que los ciberdelincuentes aprovechen los datos de los usuarios para seguir estafando. No obstante, ha comentado que no cree que con esta información, que ya está al servicio de los delincuentes, se vayan a dar «ataques muy concretos ni muy dirigidos» a los clientes. ¿A qué estar atento? Además de notificarlo a la CNMV, se espera que Banco Santander también informe a las víctimas de lo sucedido, «aunque nunca vía telefónica», según Lara, que ha adelantado que lo más habitual en estos casos es hacerlo a través del correo electrónico. En este sentido, la Organización de Consumidores y Usuarios (OCU) también ha instando a Banco Santander a avisar personalmente a todos los clientes afectados sobre el tipo de información filtrada y los riesgos asociados por el robo de su información. Dar a conocer lo sucedido a los clientes es solo una de las medidas de seguridad que se habrían aplicado tras el ciberataque. «También se incluirán notificaciones de concienciación y anuncios 'pop-up' en la aplicación o en la web para añadir nuevos factores de autenticación», ha subrayado Lara. Por su parte, los afectados deberían ponerse en contacto tanto con la entidad bancaria como con el Instituto Nacional de Ciberseguridad (Incibe) para informar sobre el caso si consideran que pueden ser víctimas potenciales de este ataque de ciberseguridad.