Un despacho de EE UU abre la puerta a una demanda colectiva por el ciberataque al Santander y Ticketmaster

Logotipo del Banco Santander en una de sus sedes.

Los recientes cibeartaques al Banco Santander y Ticketmaster, que han provocado que las credenciales de millones de clientes de ambas compañías quedaran al descubierto, puede llegar a los tribunales al otro lado del Atlántico. Un despacho de abogados de Estados Unidos, The Lyon Firm, especialista en demandas colectivas (class action), ha abierto la puerta a que los afectados por el robo de sus datos puedan emprender acciones judiciales por daños y perjuicios. El primer paso, según anuncia el bufete en su página web, es iniciar una investigación para conocer con detalles los hechos, así como sumar a la demanda el mayor número de perjudicados.

El despacho de abogados con sede en Cincinnati, en el Estado de Ohio, apunta en su comunicado hacia Snowflake, compañía de almacenamiento y análisis de datos en cuya nube se encontraba la información personal de los clientes del banco y la plataforma de venta online de entradas de eventos; pero también hacia ShinyHunters, un grupo de piratas informáticos que pidió dos millones de dólares por el rescate de los datos de 30 millones de clientes, los números de tarjetas de crédito de 28 millones de personas, los balances de seis millones de cuentas e información personal de la plantilla del Banco Santander. Estos hackers también reconocieron ser los responsables del acceso ilegal a la información de 560 millones de usuarios de Ticketmaster, que incluye desde direcciones de correo electrónico y números de teléfono hasta detalles de venta y parte de los datos de las tarjetas bancarias.

El Banco Santander hizo público el pasado 14 de mayo que sufrió un “acceso no autorizado” a una base de datos que contiene información de los clientes de la entidad, tanto de sus operaciones locales como de sus filiales en Chile y Uruguay. La entidad bancaria pilotada por Ana Botín aseguró en un comunicado enviado a la Comisión Nacional del Mercado de Valores (CNMV) que dicho ciberataque no supuso ningún peligro para los ahorros de sus clientes, ya que “no hay información transaccional ni credenciales de acceso o contraseñas de banca por internet que permitan operar con el banco” dentro de la información alojada en Snowflake.

Aun así, el pasado 29 de mayo, el banco comunicó al fiscal general de Vermont dicha violación de datos tras descubrir que “un actor no autorizado accedió y eliminó información confidencial de la red informática de la empresa”, según señala The Lyon Firm, en su comunicado difundido este viernes. “Se esperan más detalles sobre el incidente en los próximos días, pero se cree que la infracción se originó a partir de un ataque al entorno de nube Snowflake, que puede afectar a cientos de millones de personas en todo el mundo”, dice la firma de abogados.

En cualquier caso, en busca de clientes a los que representar en la demanda colectiva, el despacho apunta que, tras realizar una investigación inicial, Santander comunicó a los clientes afectados la violación de sus datos. “Si recibió una carta de notificación del banco, es importante comprender que puede correr un mayor riesgo de fraude y robo de identidad”, indican los letrados.

El caso del Santander se suma a las indagaciones preliminares relacionadas con Ticketmaster, que también fue víctima del hackeo a Snowflake, según confirmó Live Nation Entertainment, la empresa matriz del portal de venta de entradas, a finales de mayo. La empresa abrió una investigación interna para esclarecer el incidente. Aun así, los abogados recomiendan a los clientes “comenzar a mitigar sus riesgos de seguridad personal”, según señala en un mensaje publicado en la página web del bufete, el pasado 12 de junio, en el que ofrecen sus servicios.

Casi 10.000 clientes

Snowflake, con sede en Boston, cuenta con casi 10.000 clientes. La brecha de seguridad que sufrió la compañía la ha puesto en el foco de distintos despachos estadounidenses, que ven la posibilidad de presentar demandas colectivas en busca de resarcir los daños ocasionados. De hecho, el despacho de Ohio tiene una investigación general abierta por la violación de datos de la nube para aclarar si otros clientes también se vieron afectados por el ciberataque.

El gigante tecnológico ya se encuentra envuelto en una demanda colectiva en la justicia estadounidense por el presunto fraude de valores entre el 16 de septiembre de 2020 y el 2 de marzo de 2022. El pasado mes de abril, un grupo de inversores denunciaron a la compañía por crear una apariencia falsa sobre la demanda de sus productos y servicios. Según indica el escrito, Snowflake habría ofrecido descuentos significativos a sus clientes antes de su salida a bolsa, que “impulsaron temporalmente las ventas pero no serían sostenibles después”. Esta acción causó un “impacto negativo” en los clientes, así como en los ingresos y márgenes de beneficio, concluyen.

Las class action es una forma de litigar muy popular en Estados Unidos y en las que hay numerosos despachos de abogados especializados en estos pleitos. El hecho de que los despachos de abogados inicien esas investigaciones no implica que se abre la fase judicial, ni siquiera la propia presentación de la demanda en los tribunales abre dicha vía de manera inmediata. Antes de entrar a analizar los hechos, el tribunal encargado de dirimir el caso debe obliga al despacho que liderará la defensa de los intereses de los demandantes a hacer un último llamamiento público para que los afectados que lo deseen puedan unirse.

Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días

Conocer los hechos y acceder a información de calidad es más necesario que nunca. Sigue siendo parte de lo que ocurre a tu alrededor suscribiéndote a EL PAÍS