La fuente es el propio banco, porque si el Santander ha informado de un reciente “acceso no autorizado” a una base de datos de la entidad alojada en uno de sus proveedores es porque la ley le obliga a ponerlo en conocimiento de la Comisión Nacional del Mercado de Valores.
Tal información sobre este exitoso ataque de los piratas informáticos desvela las carencias de una multinacional financiera que presume -y con razón- de protagonizar una historia de gran éxito, pero omite lo más importante: este robo de información posibilita que los criminales puedan, ahora, dirigir sus pérfidas campañas delictivas contra los afectados, que son una cifra aún no determinada de sus clientes y la totalidad de sus empleados. Para saber más sobre el riesgo que corren, es importante detallar que las más probables son dos modalidades de estafa informática, concretamente el vishing y el smishing.
Sirva como preámbulo circunscribir más el área de los afectados. Para ello, hay que acudir a la información facilitada por el Santander, en la que consta que abarca hasta a tres países donde cuenta con notable implantación: España, Chile y Uruguay.
En cuanto a lo sucedido, los delincuentes, “posiblemente, han encontrado una vulnerabilidad en el proveedor de la base de datos e intentado escalar privilegios, además de robar la información de los clientes”, aclara a Europa Press el director del Centro de Operaciones de Seguridad de BeDisruptive, Roberto Lara.
Sobre por qué son útiles los datos sustraídos para cometer tales estafas, es el mismo experto quien aclara que, debido a que no hay información transaccional ni credenciales de acceso o contraseñas de banca en riesgo -dado que estas “probablemente estén en sus propias bases de datos, con un sistema de seguridad más robusto que el del proveedor”, según el experto-, los ciberdelincuentes tienen que recurrir a fraudes como los citados vishing y smishing.
Como ha informado DIARIO DE AVISOS en repetidas ocasiones y para que el lector afectado sepa a qué ha sido expuesto, conviene recordar que se conoce como vishing a una modalidad de la cibercriminalidad que consiste en un fraude telefónico que suplanta la voz de una persona, como puede ser un empleado o agente del banco, para obtener información sensible de los usuarios, como las contraseñas de acceso, aplicando para ello técnicas de ingeniería social.
En cuanto al smishing, es una técnica que, como la anterior, también procede del pshishing y consiste en el envío de mensajes de texto o SMS a las víctimas simulando ser la entidad bancaria para acceder a más datos confidenciales o bien realizar cargos económicos.
Ambas forman parte, a su vez, de la estafa que Lara denomina como “falso agente” y que también se conoce como man in the middle (en español literal, “hombre en el medio”). El especialista reconoce que, ante escenarios como este, es habitual que los ciberdelincuentes aprovechen los datos de los usuarios para seguir estafando, si bien se contradijo inmediatamente al sostener que no cree que, con esta información en su poder, se vaya a dar “ataques muy concretos ni muy dirigidos” a esos mismos clientes.
Como detalló a este periódico en su edición del pasado lunes el reconocido experto estatal Carlos Solano, no cabe duda de que los errores en sus métodos de control por parte de la Banca han facilitado el enorme crecimiento de la ciberdelincuencia en España. Y eso pese a los enormes beneficios de su apuesta telemática y la consiguiente supresión de uno de cada tres de sus empleados en el país, que no se ha traducido en mantener el nivel de seguridad que garantizaba la presencialidad. El dato no es baladí, porque, en caso de sufrir una estafa de este tipo, hay que exigir al banco que asuma su responsabilidad.
Conviene tener claro, por tanto, que, si alguien llama en nombre del Santander, en realidad es un estafador en cualquier supuesto, porque esta entidad bancaria no usa, en ningún caso, ese método de verificación. Y, desde luego, en caso de recibir un SMS en nombre del banco, desconfíe y, sobre todo, no pinche en enlace alguno.