Se profundiza riesgo para clientes por fuga de datos en Banco Santander

COMUNICADO

El acceso no autorizado a la base de datos de clientes de Banco Santander —que alcanzó a Uruguay, Chile y España— tuvo una nueva etapa a partir del pasado 24 de mayo, cuando medios digitales difundieron que se habría puesto a la venta la información robada al banco en la web dedicada a ciberdelitos.  

Los actores de la amenaza afirman en línea poseer registros provenientes de los tres países, que incluirían datos personales de 30 millones de clientes, seis millones de números de cuenta y saldos, 28 millones de números de tarjetas de crédito e información personal de trabajadores y clientes diversa.

De acuerdo a lo informado por los ciberdelincuentes, la venta de las bases de datos promocionada en línea implicaría poner a disposición un conjunto de información mucho más amplia de la reconocida por el Banco Santander, que ha insistido en minimizar el riesgo existente. 

La institución ha sido deficiente en la respuesta a sus clientes. Ante reclamos concretos realizados en Uruguay por parte de ellos, se les ha expresado: «Hasta el momento lo que sabemos es que son datos personales y de productos» y que «no es posible saber si se tuvo acceso a sus datos específicamente». 

La respuesta del Banco Santander no está a la altura del nivel de peligro que ha generado. No informan a los clientes cuáles de sus datos fueron vulnerados y contestan expresando generalidades que no coinciden con el material ofrecido hoy por los delincuentes. Tampoco alertan sobre lo altamente vulnerable de la situación en que quedan los clientes frente a la información extraída.

Por la responsabilidad asumida al solicitar toda la información a sus clientes, el Banco Santander debería estar explicando con claridad que la fuga de información los expone a riesgos de: 

Fraude financiero: Los ciberdelincuentes pueden usar la información de cuentas y tarjetas de crédito para realizar transacciones fraudulentas.
Robo de identidad: Con datos personales como nombres, direcciones y números de teléfono, los delincuentes pueden intentar hacerse pasar por las víctimas.
Ataques dirigidos: Los clientes y empleados del banco podrían ser objeto de operaciones de phishing o spear phishingmediante la información robada.
Estos peligros —entre otros, que hoy divulgan medios de prensa internacionales para alertar a los clientes del Banco Santander— son eludidos y minimizados por la empresa. Por el contrario, en Uruguay se han tomado medidas contra los trabajadores y el sindicato por denunciar esta situación, llegando al extremo de violar el convenio colectivo vigente como represalia.

El Banco Santander debe asumir íntegramente su responsabilidad sobre el caso. Fue decisión del banco que la información de sus clientes estuviera radicada fuera de Uruguay en empresas externas. Es decisión del banco minimizar la situación exponiendo a los clientes a peligros desconocidos. Fue decisión del banco avanzar hacia un modelo de digitalización de los clientes con una fuerte mengua del vínculo personal, para alcanzar mayores niveles de ganancias. 

Dichas decisiones conllevan responsabilidad, y eso incluye informar correctamente, asesorar de manera seria, prevenir en todo su alcance y establecer con claridad la forma en que se va a atender y resarcir a los clientes que puedan ser engañados en su buena fe, como consecuencia del acceso a datos personales bajo custodia del banco.

Hemos rechazado la violación del convenio que ha realizado el Banco Santander por lo que significa como negación de la negociación colectiva, pero fundamentalmente por ser un intento de chantaje para que abandonemos nuestra responsabilidad con los clientes del banco. No existe mayor defensa de nuestros puestos de trabajo que el máximo compromiso de defender a nuestros clientes, junto a la generación de un sistema financiero seguro, confiable, accesible y de calidad para los uruguayos. Evidentemente estos no son las prioridades del Banco Santander.

Reiteramos que —con el único objetivo de colaborar con el derecho de los clientes a estar correctamente informados de si fueron afectados, y qué información personal se encuentra en poder de los delincuentes— como sindicato hemos generado la página https://www.aebu.com.uy/protecciondatos, donde se dispone de los medios para reclamar la debida información por parte del banco y su denuncia frente a la Unidad Reguladora de Control de Datos.

Recordamos a clientes o empleados del Banco Santander que se hayan visto afectados por este fallo de seguridad, que deben extremar las precauciones: ahora son más vulnerables a cualquier ciberataque. Mantenerse atentos especialmente a llamadas, correos electrónicos o SMS inesperados, que pueden ser fraudulentos y no provenir de quien dicen, aunque dispongan de mucha información personal que fue expuesta por el banco.

 AEBU – Filial PIT-CNT

8 de junio de 2024