Alarma en la banca española por dos grandes fiascos tecnológicos en un mes

La banca española intenta sobreponerse de dos de los mayores sustos tecnológicos que ha tenido en los últimos años. Las entidades han sufrido en un mes un robo masivo de datos de clientes vinculados a la plataforma de Inversis y el colapso de decenas de miles de pagos por la caída del sistema Redsys. Estos hechos han puesto en tensión a los equipos de tecnología de las entidades y el supervisor, que están investigando a fondo la situación. De hecho, el Banco de España está analizando información de Redsys para determinar las causas de lo ocurrido y, sobre todo, por qué no funcionaron los sistemas de respaldo (backup), según las fuentes consultadas.

Esta era una de las advertencias que llevaban varios años realizando tanto el Banco Central Europeo (BCE) como el Banco de España: la tecnología tiene grandes ventajas, como acceso más rápido de los clientes y la eficiencia, pero también grandes riesgos, como los ciberataques o la posibilidad de que se caiga el servicio.

Todas las fuentes consultadas resaltan que la banca española está en "muy buen estado de forma" frente a sus homólogos europeos. En parte, podría ser porque la digitalización ha sido una prioridad desde hace más de una década para los grandes bancos del país. Aun así, no hay seguridad garantizada, como se ha demostrado en el último mes.

El primer caso que se vivió fue el de Inversis, que el pasado 1 de noviembre fue objeto de un ciberataque exitoso. Tal y como reconoció esta filial de Banca March, los ciberdelincuentes tuvieron acceso a datos personales de varias entidades, pero no a su información financiera. "Se ha visto afectada información de carácter personal general. Sin embargo, en ningún momento ha quedado expuesta información relativa a las posiciones ni a las operaciones de los clientes. Igualmente, la información que ha sido expuesta tampoco permite ser utilizada para la realización de operación alguna", expusieron en un comunicado.

TE PUEDE INTERESAR

Resuelta la caída masiva de Redsys que ha dejado sin servicio cajeros, pagos con tarjeta y bizum

Mónica Millán Valera

Esta entidad no tiene clientes propios, sino que da servicio y soporte a decenas (más de 100) clientes institucionales, como bancos, gestoras, agencias de valores, cuyos usuarios sí se vieron afectados. Entre ellos, algunos de entidades como la propia Banca March, SelfBank (Singular Bank, de Javier Marín) y Evo Banco (Bankinter). Todas avisaron de lo ocurrido al Banco de España y a la Agencia Española de Protección de Datos (AEPD).

Esta fuga de datos no alcanzó datos económicos, ni posiciones, ni transacciones. Aun así, sí que se sustrajeron datos como los nombres de clientes, su DNI, el estado civil, los datos de nacimiento y el nivel de estudios, que podrían intentar usar para una futura ciberestafa.

Redsys

Tras este ciberataque del 1 de noviembre, el siguiente gran susto se produjo el pasado sábado 18 de noviembre, con la caída del servicio de Redsys, la plataforma que conecta a la mayor parte de los bancos españoles entre ellos, sus cajeros, datáfonos y Bizum. El bloqueo se produjo sobre las 10 de la mañana y duró unas horas, aparentemente por unos problemas tecnológicos. "Empezaron a ralentizarse operaciones y se fue haciendo una bola de nieve que tumbó el sistema", explican fuentes próximas a Redsys, que no quiso hacer comentarios. La compañía explicó a través de X que se debió a "degradaciones de servicio de pagos, exclusivamente vinculadas a las líneas de comunicación interna".

Así, cada vez que un usuario se dirige a pagar una compra, el datáfono usa Redsys para pedir autorización al banco del cliente, que responde en milisegundos si este tiene fondos. El bloqueo afectó a prácticamente todo el sistema de pagos español, salvo a las empresas y cajeros de los bancos que trabajan con Cecabank, prácticamente el único rival de Redsys en este mercado, con un 15% de cuota.

Redsys nació en 2011 tras la fusión de Servired y 4B, a la que se sumó Euro 6000 unos años después. Sus principales accionistas son Santander, BBVA y CaixaBank, con un 25% del capital cada uno. Esta compañía tiene casi 700 empleados y ganó el año pasado 4,6 millones.

Las fuentes consultadas sostienen que el fallo de Redsys no debería volver a repetirse y explican que tanto esta compañía como su rival, Cecabank, trabajan en aspectos tecnológicos con las principales empresas mundiales, como Microsoft, Oracle e IBM.

Además, explican que estas empresas reciben intentos de ciberataques permanentes que son rechazados. "Los ciberdelincuentes siempre están haciendo intentos, pero se están especializando y saben identificar brechas del sistema", como las entidades que se están fusionando. Algo que sufrieron muchos clientes de Unicaja durante la fusión con Liberbank. El caso de Inversis ha desconcertado al sector, ya que no tenía ninguna fusión en marcha.

Lejos de la banca, las aseguradoras han sufrido en el pasado muchos ataques tecnológicos, como el que expuso a 26.000 clientes de Zurich. Otro caso reciente es de Air Europa, que expuso datos de las tarjetas de crédito de decenas de miles de clientes. Ningún sector está a salvo de estos problemas, aunque el papel del financiero es crítico.