Santander informa al BCE y a la AEPD sobre el ciberataque y cruza los dedos para no ser sancionado
Santander comunicó el martes un "acceso no autorizado" a información de clientes y empleados del grupo en España, Chile y Uruguay.
Santander comunicó el martes al Banco Central Europeo (BCE) y a la Agencia Española de Protección de Datos el ciberataque sufrido que ha supuesto el acceso a información de datos de clientes y de todos los empleados del grupo en España, Chile y Uruguay. También se informó desde la entidad a la Policía así como a los reguladores del mercado en España (CNMV) y en Estados Unidos (SEC).
El banco presidido por Ana Botín comunicó al mediodía del martes haber tenido «recientemente conocimiento de un acceso no autorizado a una base de datos de la entidad alojada en un proveedor».
Santander indicó que en la base de datos «no hay información transaccional ni credenciales de acceso o contraseñas de banca por internet que permitan operar con el banco» y que sus operaciones y sistemas «no están afectados» y que los clientes «pueden seguir operando con seguridad».
Santander cuenta con 54,1 millones de clientes digitales (sobre un total de 164,5 millones) y el 56% de sus ventas son por internet
Expertos en ciberseguridad consultados señalaron a este periódico que el ataque, al no afectar a los servidores, es «menos grave». «No es un ransomware, un secuestro de datos, por el que se restringe el acceso a archivos o sistemas y se pide un rescate», apuntaron.
Los bancos deben notificar incidentes significativos en ciberseguridad al BCE en las dos horas siguientes de recibir el ciberataque y son los encargados de solucionarlos.
«Estar informados de los ciberataques permite a los supervisores identificar y monitorizar tendencias en incidentes cibernéticos que afectan a bancos importantes y obtener un conocimiento más profundo del panorama de amenazas cibernéticas», explican en el BCE. «También coloca al BCE en condiciones de poder reaccionar más rápidamente ante una posible crisis causada por un ciberataque», añaden.
El banco español no ha precisado el número de clientes afectados. Fuentes de la entidad consultadas señalaron que se desconoce en estos momentos si existe posibilidad de que sea sancionado o reciba alguna multa por el suceso, aunque también comentaron que, en otras situaciones, las sanciones se han impuesto por no comunicar debidamente del ciberataque.
Exposición digital
Santander admite en sus últimos informes financieros y de gobierno corporativo que su exposición a los riesgos cibernéticos «se ha incrementado en los últimos años como consecuencia de su estrategia digital«.
A 31 de diciembre de 2023 la entidad cuenta con 54,1 millones de clientes digitales (sobre un total de 164,5 millones) y el 56% de sus ventas son digitales.
«La implementación de políticas, procedimientos, controles y medidas técnicas de ciberseguridad está diseñada para reducir el riesgo de tales incidentes, pero no garantiza una protección total contra posibles amenazas o ciberataques o un entorno libre de riesgos», advierte el grupo, «en especial en el entorno global actual con la guerra en Ucrania y el conflicto en Oriente Medio (…)».
El banco creó el pasado año el Santander Fusion Centre, que opera 24 horas al día los siete días de la semana, para detectar eventos de ciberseguridad
«La creciente amenaza cibernética combinada con la creciente dependencia de los sistemas digitales hacen de la ciberseguridad una de las prioridades del Grupo», asegura Santander. «La creciente dependencia de los sistemas digitales también ha provocado que la ciberseguridad sea uno de los principales riesgos no financieros del negocio«, reconoce.
Durante el pasado año el banco observó «un aumento de los eventos de ciberseguridad, principalmente relacionados con ataques de denegación de servicio distribuido (DDoS) derivados de la situación geopolítica, y eventos aislados que afectan a proveedores de servicios de terceros, que se abordaron y resolvieron con prontitud». Ninguno de estos sucesos, asegura, «afectó materialmente a nuestras operaciones».
En 2023 Santander diseñó «un nuevo marco de denegación de servicio distribuido», y desarrolló «nuevos controles, especialmente en torno a la cadena de suministro, las copias de seguridad y las medidas de recuperación y prevención del fraude reforzadas mediante el aprovechamiento de soluciones biométricas de comportamiento y tecnología de aprendizaje automático«.
El banco inauguró el pasado año el Santander Fusion Centre, que permite una colaboración más estrecha entre los equipos de Ciberseguridad y Monitorización de tecnologías de información; opera 24 horas al día, siete días a la semana, prestando servicios a todas las entidades del grupo, detectando, monitorizando y respondiendo a fallos operativos y eventos de ciberseguridad.
También el pasado año Santander se asoció formalmente a la iniciativa Cybercrime Atlas del Foro Económico Mundial y codirigió la primera reunión cibernética de la European Financial Services Roundtable. El grupo forma parte del equipo directivo de la US Ransomware Task Force, cuyo objetivo es mejorar la prevención y la respuesta ante los ataques de ransomware.
«Auditores internos y externos revisan periódicamente nuestros sistemas de información. Además de las pruebas y revisiones periódicas, autoridades de certificación independientes revisan y certifican nuestros procesos críticos de ciberseguridad», subraya.