El Grupo Santander admite que "ha tenido recientemente conocimiento de un acceso no autorizado a una base de datos de la entidad alojada en un proveedor". El banco implementó de inmediato medidas para gestionar el incidente, como el bloqueo del acceso a la base de datos y un refuerzo de la prevención contra el fraude para proteger a los clientes.
"Tras la investigación llevada a cabo, podemos confirmar que se ha accedido a información de clientes de Santander Chile, España y Uruguay, y de todos los empleados y algunos exempleados del grupo. En el resto de mercados y negocios de la entidad no hay datos de clientes afectados", señala.
"En la base de datos no hay información transaccional ni credenciales de acceso o contraseñas de banca por internet que permitan operar con el banco. Las operaciones y los sistemas de Santander no están afectados y los clientes pueden seguir operando con seguridad. Lamentamos la situación y estamos informando proactivamente a los clientes y empleados directamente afectados. Hemos notificado oportunamente a reguladores y fuerzas de seguridad, y continuaremos colaborando con ellos", añade.
La Asociación Española de Consumidores pide a los clientes del banco que estén atentos a sus cuentas por si se produjeran cargos o movimientos de su dinero de manera indebida. "En el caso de que esto se produjera se debe comunicar y reclamar inmediatamente dicha circunstancia al Banco Santander", recomienda.
Pandora FMS señala que el sector financiero recibe el 25% de los ciberataques contabilizados en los años 2022 y 2023, el mismo porcentaje que el de transporte (aunque éste sube 8 puntos en un año). "España sigue falta de talento IT y de inversión en ciberseguridad”, explica Sancho Lerena, CEO, que avisa: "Es una nueva vía de delincuencia, por eso hace falta formar a más especialistas y seguir invirtiendo en más ciberseguridad y protección”.
Suplantación de CaixaBank y de Endesa para propagar Agent Tesla
El Santander no es la única entidad financiera afectada por un ciberataque. Josep Albors, director de investigación y concienciación de ESET España, alerta de una nueva campaña de suplantación a CaixaBank y Endesa para propagar el malware Agent Tesla.
"Por un lado, tenemos un email donde los delincuentes se hacen pasar por una tal Marta, supuestamente una empleada de CaixaBank, que nos envía un archivo que, supuestamente, contiene el contrato relacionado con el seguro de vida que alguien ha contratado. Es difícil calcular cuantos de los receptores de este correo han contratado recientemente un seguro de Vida con esta entidad, pero estamos seguros que los delincuentes confían en la curiosidad de la gente para abrir ficheros adjuntos que no deberían", señala.
"En el otro correo analizado observamos como los delincuentes envían el email haciéndose pasar directamente por la propia Endesa, indicando al usuario que tiene pendiente de pago una factura correspondiente al pasado mes de abril. El hecho de que se suplante a una de las principales comercializadoras de energía de España hace que el número potencial de usuarios susceptibles de abrir el fichero adjunto sea relativamente elevado", advierte.
Como es habitual, los delincuentes comprimen sus archivos maliciosos para evitar que se asigne a los ejecutables que contienen la conocida como “Marca de la web” por parte de Windows. Esta marca hace que el sistema categorice los ficheros descargados desde Internet como potencialmente inseguros, mostrando una alerta al usuario de que se encuentra ante un archivo que puede causar problemas y bloqueando por defecto la ejecución de macros de ficheros de Office.
A pesar de tratarse de dos campañas aparentemente diferentes, tras revisar los archivos ejecutables usados por los delincuentes para infectar los sistemas de sus víctimas, "observamos que, aun teniendo nombres diferentes, estamos ante el mismo fichero, algo que se puede comprobar al revisar el hash de ambos ficheros y comprobar cómo es idéntico. Esto puede hacernos pensar que el mismo delincuente o grupo de delincuentes son los responsables de lanzar ambas campañas, las cuales han coincidido en el tiempo, por lo que esta opción parece bastante acertada", apunta Albors.
En cuanto al malware utilizado en esta campaña nos encontramos, una vez más, con una variante de Agent Tesla, el cual no ha dejado de usarse en campañas contra usuarios españoles desde hace ya algunos años, tal y como puede observarse en los informes de amenazas publicados periódicamente por ESET. "Se trata de una amenaza que está siendo monitorizada activamente por la mayoría de empresas de ciberseguridad por lo que debería ser detectada sin demasiados problemas", asegura.
La finalidad de los atacantes no es otra que la de robar credenciales almacenadas en el sistema de la víctima, más concretamente en las aplicaciones que usa. Una vez han obtenido estas credenciales pueden usarlas para preparar campañas más elaboradas, venderlas a otros delincuentes o usarlas para acceder a los servicios y robar información confidencial.
"La continuidad de estas campañas, a pesar de que se iniciaron hace años y los delincuentes no han cambiado su formato o técnicas sustancialmente, demuestra que el número de víctimas que obtienen sigue siendo elevado. Debemos, por tanto, mantenernos alerta, sospechando de cualquier tipo de comunicación no solicitada, aunque parezca provenir de empresas y organizaciones de confianza, y contar con soluciones de seguridad capaces de detectar ésta y muchas otras amenazas", recomienda el experto de Eset.