Acceder

El Santander alerta de un acceso no autorizado a datos de clientes y empleados.

128 respuestas
El Santander alerta de un acceso no autorizado a datos de clientes y empleados.
3 suscriptores
El Santander alerta de un acceso no autorizado a datos de clientes y empleados.
Página
3 / 10
#31

Re: Acabo de hablar con el Incibe y con Santander.

Saludos de nuevo, pues como es de hace dos años, espero y quiero creer que algo ya "absolutamente histórico y desfasado" pero demuestra que al menos 2 bancos, ponian enlaces a la web para conectarte, en su publicidad  de préstamos preconcedidos o para que vieras información importantes como por ejemplo cambio de condiciones de cuenta enviados a los clientes de manera telemática .... evidentemente era reales, la web la correcta ... me lo guarde y aún lo conservo, porque si luego te estafan en una web que ha imitado al banco y tal banco tiene ciertas contradicciones tan evidentes, lo que sacarse la responsabilidad de encima si, pero alguna "defensa demostrable" como cliente iba yo a tener.  Con o sin posibilidades ya se vería, afortunadamente no es el caso, pero no equivale a nada. 
#32

Correos electrónicos certificados, para el que no los haya usado.

Muchos los conocerán de sobra, y mejor que yo, pero siempre hay una primera vez. Vamos allá.

  • Yo utilizo Notificados, para diversos fines, pero me voy a centrar en la 
    1. Comunicación Certificada Electrónica, por 1,11€
    2. La empresa envía en tu nombre un correo electrónico, te entrega un acuse de recibo al producirse la entrega.
    3. Puedes establecer el tiempo que estás dispuesto a esperar hasta que el destinatario abra tu correo, pero por defecto son 10 días. Banco Santander ha abierto todos los correos de este tipo que he enviado y, a lo sumo, ha tardado cinco días.
    4. Una vez abierto el correo, recibes el acuse de recibo. Si el destinatario no lo abre transcurrido el plazo que hayas establecido o los 10 días por defecto, obtendrás un documento donde se acreditan las acciones realizadas y el resultado de la misma.
    5. Tienen valor probatorio > son pruebas admitidas en juicio, sin ninguna duda.
    6. Puedes seguir todo el proceso, si lo abren, a qué hora.
    7. Envías un pdf y adjuntos que no pueden ocupar más de 4 MB (suficiente).
    8. El destinatario recibe un correo electrónico o un SMS, eso lo decides a tu gusto, pero para un banco lo normal es seleccionar el correo electrónico.
      • En dicho correo les avisan de que tienen un enlace para descargar un pdf con el texto que quieras, imágenes incluidas, pero todo en pdf.
      • En el correo electrónico con el aviso de la empresa que tramita todo el proceso, Notificados, el receptor, tiene un CAPTCHA de acceso y luego un enlace que deben activar.
[][][][][]
Bancos como Santander y MyInvestor, entre otros, han abierto este tipo de comunicaciones sin problemas. Cierta compañía de seguros no, pero su servicio de reclamaciones sí. Lo normal es que los abran siempre. Y a Santander he mandado varios.
[][][][][]
Ahora voy a ver si puedo pasar unas capturas.


#33

Re: Correos electrónicos certificados, para el que no los haya usado.

Gracias. al Santander, Caixa Bank, Bankinter, etc., a sus SAC los e-mail mde los han aceptado siempre, pero tengo la precaución de adjuntar un PDF con el mismo escrito debidamente rubricado mediante firma digital (la de la FNMT) y recibo el acuse en pocos días, pero debo decir que no es obligatorio contar con firma digital a nivel particular, con lo cual muchas gracias por tu explicación. 
#34

Correos electrónicos certificados, para el que no los haya usado. Capturas.

Ahora voy a pasar, entre arteriscos, el texto de un seguimiento de un correo que fue abierto finalmente. Donde aparecer 'XXX' se trata de las IPs de los equipos implicados en el envío y la recepción del correo. Las he eliminado por privacidad.

******************************************************
10/04/2023 14:23:05 Enviado  
10/04/2023 14:23:06 Comunicación emitida Acceso pendiente a la url de la comunicación. La comunicación ha sido enviada al destinatario, el cual ha recibido un aviso (vía sms y/o email) con el código de comunicación certificada electrónica para recogerlo.
13/04/2023 10:59:39 Comunicación emitida Acceso realizado a la url de la comunicación.
Desde IP / equipo: XXX Acceso a la url donde debe introducir el captcha y el código enviado por SMS / email
13/04/2023 10:59:42 Comunicación emitida Acceso realizado a la url de la comunicación.
Desde IP / equipo: XXX Acceso a la url donde debe introducir el captcha y el código enviado por SMS / email
13/04/2023 10:59:47 Comunicación emitida Acceso realizado a la url de la comunicación.
Desde IP / equipo: XXX Acceso a la url donde debe introducir el captcha y el código enviado por SMS / email
13/04/2023 11:00:25 Comunicación emitida Intento de introducir captcha y/o código de comunicación certificada electrónica.
Desde IP / equipo: XXX Se ha intentado introducir captcha y el código de comunicación certificada electrónica enviado por SMS / email.
13/04/2023 11:00:26 Comunicación emitida Captcha y código de comunicación certificada electrónica correctos.
Desde IP / equipo: XXX El captcha y el código de comunicación certificada electrónica introducidos son correctos, comienza el proceso de recogida de la comunicación certificada electrónica.
13/04/2023 11:00:30 Comunicación entregada Comunicación entregada correctamente.
Desde IP / equipo: XXX Comunicación entregada correctamente al receptor de la Comunicación certificada electrónica.
13/04/2023 11:00:31 Finalizado  
13/04/2023 11:00:33 Comunicación entregada Notificación descargada El destinatario ha descargado el documento de notificación a su equipo local
13/04/2023 11:00:34 Finalizado  
13/04/2023 11:00:39 Comunicación entregada Notificación descargada El destinatario ha descargado el documento de notificación a su equipo local
13/04/2023 11:00:40 Finalizado  
24/04/2023 12:29:13 Comunicación entregada Notificación descargada El destinatario ha descargado el documento de notificación a su equipo local
24/04/2023 12:29:14 Finalizado.
******************************************************

Como puede verse por el siguiente texto, hay un correo, un código de acceso y un CAPTCHA para acceder al pdf que queramos enviar.
 Acceso a la url donde debe introducir el captcha y el código enviado por SMS / email
13/04/2023 11:00:25 Comunicación emitida Intento de introducir captcha y/o código de comunicación certificada electrónica.
>>>>>> Existe la posibilidad de firmar la comunicación con el propio certificado personal, por ejemplo, el de la FNMT, pero nunca lo he hecho.
>>>>>> Aparte de la certificación de texto optativa, se pueden solicitar otros extras.
>>>>>> Habrá más empresas dedicadas a esto, pero yo sólo conozco Notificados. Sin ningún problema con ellos. La empresa está en Madrid y el teléfono de Atención al Cliente no sé si "cierra" a las 18:00 o 19:00 horas.


Lo que ellos envían de nuestra parte es un pdf que debemos subir. El tipo de envío o producto que debemos seleccionar es Comuniciación Certificada Electrónica.


Preparamos nuestro documento (no más de 4MB) en un pdf que puede contener imágenes y lo subimos mediante el enlace Adjuntar archivo.

Le echamos un vistazo antes, para ver que todo está en orden y, después de aceptar el documento final haciendo clic en la casilla correspondiente ....




......  te ofrecen la posibilidad de poner un nombre al envío, un nombre para ti, para que lo localices con facilidad. Yo lo he llamado Queja.
De aquí pasamos a algo muy importante, el tiempo que queremos dar al receptor del mensaje para que lo descargue: por defecto 10 días, creo que el máximo son 30, creo ¿?

Suelo poner 15, sin problemas. Sobran muchos días cuando el receptor no tiene mala idea.
  • El Acuse de Recibo está incluido en el precio.

En fin, espero que no sea necesario nada de esto. Es penosísimo que ocurran estas cosas. Deprimente e inquietante. Bueno, pues al final obtienes un histórico así, y un pdf con los justificantes, que te envian a tu dirección de email, si quieres.

#35

Re: Correos electrónicos certificados, para el que no los haya usado.

Pues nunca he utilizado el certificado de la FNMT para tal fin. Estos correos son baratos y no sólo sirven para poder demostrar que has enviado una determinada solicitud, sino también para saber que han abierto tu mensaje. Los he utilizado mucho y el dinero no me sobra.

Voy a salir a hacer un recado y a la vuelta leeré tu artículo. Muchas gracias. Saludos.
#36

Re: No te dicen si eres uno de los afectados.

Por último, te dejo un par de posts sobre todo el proceso del envío de correos certificados.



Lo mismo sabes de este tema más que yo, lo mismo has utilizado muchas veces estos correos, pero yo no puedo saberlo y, por si acaso, lo dejo aquí. No hay nada de malo en no saber algo, si supieras cómo yo he tenido que aprender a marchas forzadas, en las condiciones más pensosas. Muy buenas noches a todos, que como me acabe liando en el foro me quedo si  el desayuno de mañana :-))
#37

Re: No te dicen si eres uno de los afectados.

Muchas gracias por las respuestas tan completas.

Creo que en casos asi es cuando se ve la profesionalidad de un banco o institución/empresa.
Y para mi hoy el SAN no lo ha sido.

Acudí allí porque en uno de sus comunicados dicen expresamente que nos informemos en la oficina, por email o por teléfono.
Seguramente el empleado no sabe quienes son lo afectados pero lo correcto es que me dijera que lo desconoce y que pasaría la pregunta al dpto correspondiente y estos me enviasen la respuesta.
#38

Re: Acabo de hablar con el Incibe y con Santander.

Ya estoy de vuelta.

Destaco.
No es la primera vez que veo esto y no solo de BBVA, también lo he visto en Caixa Bank, en relación a préstamos preconcedidos que en el mismo mail (también) te pone un enlace para acceder directamente.
Lo de los préstamos preconcedidos me recuerda a un día que, hace muchos años, me puse furiosa con el banco porque me mandó por correo una tarjeta de crédito que yo no había solicitado con todos mis datos. Jamás he tenido una tarjeta de crédito, pero el banco estaba empeñado en "tentarme".

Lo del enlace es muy frecuente, pero nunca he pinchado ninguno.  Otros que me mandan enlaces de pago son los de la luz. Por norma no domicilio los recibos y me mandan la factura con un enlace de pago. Se pueden analizar antes de pinchar en ellos, pero, tienes toda la razón porque pocos serán los que se molesten en analizar cuidadosamente en enlace y el banco está animando a la gente a una de las prácticas más peligrosas que existen.
Y obviamente debe evitar que se puedan quebrantar las dos premisas de autorización, por ejemplo que no sea fácil cambiar el móvil de recepción del mensaje o bien controles suficientes cuando se accede a la web a través de un terminal distinto al habitual.
Lo del móvil es tremendo, y aunque no lo puedas cambiar tienes la pesadilla del SIMswapping. Es que no se puede utilizar el móvil para identificarse, hay medios tipo authenticator, mensajes push, pero el SMS al móvil tiene que acabarse.
Sin embargo y volviendo a lo que se indica al principio, en mi opinión, esto de mandar mensajes publicitarios o bien para consultar la web y, poniendo en tal mensaje un enlace para acceder a la página del banco, no ayuda en nada a la seguridad, es más lo que produce es de alguna manera “normalizar” que los clientes no sospechen de enlaces recibidos, por ser algo no excepcional en su relación con el banco. 
Exacto. Totalmente de acuerdo.
Es cierto que en muchos de estos mensajes, supongo porque los mismo vienen del extranjero, con dominios de estados BY (Bielorusia) RU (Rusia), etc. o bien con errores de ortografía como por ejemplo BancoSatander, AlgenciaTributaria …, es evidente que un banco en España la Seguridad Social o la Agencia Tributaria no te va a mandar un mensaje desde Bielorusia !!, no obstante hay otros mensajes en los que es fácil detectar errores, no se trata de faltas ortográficas o que se ha realizado una traducción automática de otro idioma y la literalidad de tal conversión supone una redactado cuando menos algo raro.  
Sólo he recibido un enlace sospechoso sobre el supuesto envío de un paquete, pero la verdad es que no abro más correos que aquellos que espero y en el teléfono tengo permanentemente activada la lista negra. Cuando alguien va a llamarme la desactivo unos minutos. Los correos no suelo abrirlos, me basta con mirar los encabezamientos para saber que es publicidad o que se trata de algo irrelevante.

Curiosamente, tengo varios medios para comunicarme con el mundo que me dejan completamente incomunicada porque todo lo abro como si yo fuese un artificiero y el correo o la llamada un paquete bomba.

Muchas gracias por tu artículo. Tienes toda la razón, lo de los enlaces es continuo. Muy buenas noches.
#39

Re: No te dicen si eres uno de los afectados.

#40

Re: No te dicen si eres uno de los afectados.

Buenas noches

S4nt4nder ha subido hoy al área de cliente el documento: información de su interés. Ya empiezan las comunicaciones. En mi caso 3 hojas informándome que soy una de los afectadas, medidas que ha tomado el banco y las que me recomiendan a mí. 🙈 Lo que faltaba ya...

Inicio del documento:

Estimado/a cliente:
En Santander estamos comprometidos con la seguridad y la garantía de la privacidad y de la protección de los datos personales de nuestros clientes, manteniéndoles informados en todo momento de cualquier asunto relevante para la protección de sus derechos. En este sentido, le trasladamos que hemos detectado que en fechas recientes se ha producido un acceso no autorizado -que ya ha sido bloqueado- a la infraestructura de un proveedor que alojaba información de clientes de Santander, entre los que se encontraba la suya, que
ha podido verse expuesta.

La información afectada no incluye ningún tipo de dato que permita que terceros no autorizados puedan acceder a sus cuentas ni operar con su banca online. Entre la información a la que han podido tener acceso se encuentran sólo algunos datos identificativos y financieros como nombre y apellidos, fecha de nacimiento o NIF. Es decir, no incluye posiciones bancarias, contraseñas, números o movimientos de tarjetas, etc

#41

Re: No te dicen si eres uno de los afectados.

Buenas madrugadas.

Muchíssssimasss graciasss por compartir la información. Siento que estés entre las afectadas. Aunque yo sea exclienta, en Atención... no me han dicho que los exclientes no estén afectados. Voy a escribir ahora mismo a Protección de Datos del Santander.
Entre la información a la que han podido tener acceso se encuentran sólo algunos datos identificativos y financieros como nombre y apellidos, fecha de nacimiento o NIF.
Ese párrafo es INADMISIBLE e incompleto, deberían detallar todos y cada uno de los datos afectados para que las personas puedan protegerse adecuadamente y dejar de dar consejos bobos y obvios. 
Tengo que ponerme manos a la obra. Si me entero de algo lo pegaré en este foro, porque toca mañanita telefónica. Muy buen día a todos.
#42

Delegados de Protección de Datos (DPD) de las empresas.

Buenos días.

Por si alguien tiene algún problema relacionado con la privacidad, aparte de los correos electrónicos del departamento de provacidad de cada banco, en la página web de la Agencia Española de Protección de Datos nos ofrecen un buscador para localizar los correos de los delegados de protección de las empresas. Pinchen abajo.

Apenas escribo la palabra "Banco" aparece una lista con el nombre de varias empresas donde aparece dicha palabra, desde bancos de alimentos hasta entidades financieras. Poco más abajo de la mitad de la página, más o menos, aparece BANCO SANTANDER S.A.
  • Si pinchan en el nombre del banco, o en el nombre que les interese, en el caso que nos ocupa. 

Suerte a todos. Me marcho a ver si resuelvo esto. Que tengan buen día.
#43

Re: No te dicen si eres uno de los afectados.

A mi también me ha llegado fechada del 15.
#44

Re: No te dicen si eres uno de los afectados.

Por el momento no me ha llegado nada, he revisado la correspondencia en la App y ná de ná, pero vaya tela, vaya tela, nuestros datos rulando por ahí y aquí no pasa nada!!!
#45

Re: No te dicen si eres uno de los afectados.

Siento que estés afectado. Yo he terminado de escribir hace poco y, me parece, ya lo han abierto. Saludos.