20/05/2024

AdminYpt

ataque corporativo

La firma BigLaw estafada por más de $ 3 millones en transferencia bancaria

AdminYpt 03/08/2020

El despacho de abogados estadounidense Holland & Knight se enfrenta a una demanda millonaria por haber sido engañado durante una operación de compraventa de acciones. La firma está acusada de no haber hecho lo suficiente para prevenir e identificar un fraude en una transacción que asciende a más de 3 millones de euros.

Los ciberdelincuentes interceptaron los correos electrónicos del bufete y suplantaron la identidad de sus clientes, que actuaban como vendedores. Esta estrategia les permitió tener acceso a información y documentación de la operación, y a modificar la cuenta corriente en la que debía ingresarse el dinero del pago, para sustituirla por una cuenta de un banco en Hong Kong a nombre de Wemakos Furniture Co. Limited.

Los demandantes, la familia Sorenson, acusan a la firma de abogados y al agente depositario de las acciones de actuación negligente, incumplimiento de contrato e inobservancia del deber fiduciario que les corresponde. La principal cuestión en la que basan la demanda es que, aún a pesar de que existían procedimientos a seguir de cara a obtener la confirmación de los intervinientes para el cambio de cuenta corriente, las comunicaciones enviadas desde el despacho fueron interceptadas por los ciberdelincuentes.

"El despacho no adoptó medidas complementarias de comprobación, como podría haber sido la de llamar por teléfono", destaca Francisco Pérez Bes, ex secretario general del Incibe"

La firma sostiene que que sus sistemas informáticos no se han visto vulnerados, y que actuaron de conformidad con las instrucciones recibidas desde el servidor de correo electrónico del demandante. Este mismo despacho de abogados ya fue víctima, en el año 2015, de una campaña de phishing que utilizaba su imagen para difundir malware a través de enlaces maliciosos insertados en noticias falsas en Internet.

Troyano bancario Android Cerberus puesto a subasta

AdminYpt 27/07/2020

Los desarrolladores del troyano bancario Android Cerberus tienen la intención de vender todo su proyecto. La licitación se realizará en forma de una subasta, y el precio inicial es de $ 50 mil. Por $ 100 mil, los desarrolladores están listos para separarse de su creación, sin negociación. Por su dinero, el comprador recibirá el código fuente del troyano, APK, módulos, un panel de administración, servidores, listas de clientes actuales y potenciales, una guía de instalación y los scripts necesarios para el buen funcionamiento de todos los componentes.

Durante al menos un año, los desarrolladores de Cerberus han estado promoviendo activamente sus servicios y alquilando malware por $ 12,000 al año. Los clientes también tuvieron acceso a la renta por un período más corto ($ 4 mil por 3 meses y $ 7 mil por 6 meses). Según la publicación del vendedor en uno de los foros cibercriminales en idioma ruso, el negocio actualmente genera ingresos de $ 10 mil por mes. Según ellos, el equipo de Cerberus se ha desintegrado, y los desarrolladores restantes no tienen tiempo suficiente para soportar el troyano las 24 horas del día.

Vale la pena señalar que Cerberus es el primer malware del mundo que roba códigos de autenticación de dos factores por única vez. El malware combina las funciones de un troyano bancario y un troyano de acceso remoto (RAT). Su código está escrito desde cero y no es un "clon" de ningún troyano cuyas fuentes se hayan filtrado a Internet.

Cerberus puede determinar si se está ejecutando en un dispositivo real o en un entorno limitado. El malware tiene grandes capacidades. Por ejemplo, puede falsificar notificaciones de servicios bancarios que se ejecutan en el dispositivo infectado para obligar a la víctima a ingresar credenciales, así como robar códigos de autenticación de dos factores.

Más detalles: https://www.securitylab.ru/news/510564.php

Banco Santander condenado a devolver millones de euros por el producto Tridente

AdminYpt 27/07/2020

Banco Santander no deja de sorprender desde el punto de vista de la comercialización de productos muy complejos a sus clientes, incluso a los que no cumplen el perfil de inversor. En días pasados hemos comprobado lo que ocurrió con Valores Santander, cuando el banco cántabro dio una información sesgada a su red comercial para que el producto resultara mucho más amable para el cliente medio.

Sin embargo, hay otros productos por los que ha sido condenado pro la Justicia. Uno de ellos es el denominado Tridente Santander, un producto financiero estructurado que combina dos o más productos su estructura. En este caso, el inversor entregaba al banco un capital, comprometiéndose el banco a pagarle un rendimiento fijo trimestral del 2% durante 3 años y a devolver el principal en el momento de la cancelación del producto que podía ser anticipada cada año. El capital podía verse incrementado o minorado dependiendo de la evolución del precio en el mercado de las acciones subyacentes, BBVA, ING y BNP Paribas etc. Las pérdidas que sufrieron los clientes fueron muy importantes ya que estaba referenciado a las acciones financieras justo antes de la crisis de las hipotecas basura norteamericanas. Este producto ofrecía una rentabilidad potencial muy alta, pero «era de carácter complejo y de elevado riesgo», tal como lo define la Comisión Nacional del Mercado de Valores.

El Tribunal Supremo consideró que los clientes de banca privada accedieron a la contratación del Tridente sin un conocimiento real de sus riesgos ya que la rentabilidad iba ligada a la evolución de las entidades antes descritas. En la sentencia el Supremo confirmó la nulidad de los contratos acordada en la sentencia de primera instancia, pero fundada en la existencia de error vicio, dado que la información contenida en los contratos, cuando se trata de un producto complejo, no es suficiente. No basta con que en el contrato se haga mención de que el titular asume el riesgo de que la rentabilidad final del producto sea negativa […] pues se trata de una advertencia genérica. El Supremo, además, indicaba que es preciso ilustrar los riesgos concretos y advertir cuánto puede llegar a perderse de la inversión y en qué casos, con algunos ejemplos o escenarios. Es significativo que el Supremo indicara que el hecho de que los clientes fueran de banca privada no les convertía en inversores profesionales, ni siquiera por el hecho de que ya hubieran destinado su dinero a productos similares. En este caso, el Santander fue condenado a devolver 1,2 millones de euros.

Sin embargo, otras muchas sentencias han ido por el mismo camino. La Audiencia Provincial de Madrid condenó a la entidad presidida por Ana Patricia Botín a devolver 300.000 euros a un cliente al que no informó de manera adecuada de los riesgos que implicaba la contratación del Tridente. Según la sentencia, el demandante obtuvo 900.000 euros por la venta de un inmueble y decidió ingresarlos en Banco Santander. La entidad le aconsejó invertir parte de este patrimonio, un consejo que el cliente aceptó y por el que contrató el Tridente por importe de 300.000 euros. La sala de la Audiencia Provincial calificó al producto como «complejo y de alto riesgo» y por el que el cliente tuvo unas pérdidas superiores al 70%, por lo que la entidad ofreció al cliente firmar un segundo producto -tan complejo y de tanto riesgo como el anterior- para recuperar como máximo el 70% de su inversión.

En otro orden, el Santander fue capaz de «colocar» a un mismo cliente el Tridente y Valores Santander. Así se comprobó en la sentencia del Juzgado de Primera Instancia nº 2 de Valencia que anuló las dos órdenes de compra de Valores Santander suscritas por un particular por importe total de 577.425 euros. Asimismo, el Juzgado también condena la comercialización de dos contratos de Producto Estructurado Tridente por importe total de 300.000 euros. El motivo de la condena ha sido el incumplimiento del deber legal de información por parte de Banco Santander.

La ley del Mercado de Valores

La entidad cántabra debió cumplir la Ley del Mercado de Valores (LMV) y la normativa europea MIFID que exigen la máxima diligencia informativa para la venta de productos financieros complejos y de riesgo a clientes minoristas. Sin embargo, el banco no cumplió con esta obligación, tal y como expone la declaración del empleado de la sucursal, quien explicó solamente al cliente que los valores se iban a convertir en acciones, tratándose de una manera distinta de invertir en acciones; que si salía mal podía aguantar las acciones, percibiendo un cupón siempre sobre el nominal invertido; y que a los cinco años tenía que comprar las acciones.

No obstante, el Santander puede superarse a sí mismo a la hora de colocar a sus clientes productos abusivos o de un riesgo tan elevado que no se correspondía al perfil inversor del cliente. La Audiencia Provincial de Valencia sentenció la devolución de 1,1 millones de euros a un matrimonio con estudios básicos y de profesión carniceros a los que «colocaron» dos productos Estructurados Santander Inmobiliario Global (200.000 euros); un Estructurado Auto Cancelable (100.000 euros); Valores Santander (600.000 euros) y varios «Fondos Tridente» (200.000 euros). El matrimonio, tras recibir una importante cantidad de dinero por la venta de unos inmuebles procedentes de una herencia familiar, decidió confiar en los asesores de Banco Santander la gestión e inversión de su patrimonio económico en productos seguros acordes con su perfil conservador. Según la sentencia, se trataba de valores de inversión complejos y de alto riesgo de cuyas verdaderas implicaciones no fueron debidamente advertidos los clientes en el momento de su adquisición. Además, eran productos financieros de diseño propio del banco que fueron recomendados por los empleados de la entidad sin las debidas advertencias, por lo que ocasionaron a los clientes graves pérdidas de más de 844.200 euros, respecto al nominal invertido inicialmente.

En qué consiste el Tridente Santander

El Tridente Santander es un producto habitual entre los clientes de banca privada, a nivel nacional e internacional, que se suele conocer como un “producto financiero estructurado (PFE)". Un PFE es un producto financiero que combina dos o más productos en su estructura.

El producto Tridente de Santander tenía la siguiente estructura:

El inversor entregaba al banco un capital, comprometiéndose el banco a pagarle un rendimiento fijo trimestral del 2% durante 3 años y a devolver el principal en el momento de la cancelación del producto que podía ser anticipada cada año. El capital podía verse incrementado o minorado dependiendo de la evolución del precio en el mercado de las acciones subyacentes, BBVA, ING y BNP Paribas etc. Las pérdidas fueron importantes ya que estaba referenciado a las acciones financieras justo antes de la crisis de las hipotecas basura norteamericanas. Este producto ofrecía una rentabilidad potencial muy alta, pero "era de carácter complejo y de elevado riesgo", tal como lo define la Comisión Nacional del Mercado de Valores.

  • ¿Por qué es tan importante que el Supremo haya fallado en contra del Tridente Santander?

El pasado 3 de febrero el Tribunal Supremo dictó una importante sentencia en contra del Santander por la venta del producto Tridente a clientes de banca privada. El Alto Tribunal considera que los clientes de banca privada accedieron a la contratación del producto estructurado Tridente sin un conocimiento real de sus riesgos. La rentabilidad de este producto va ligada a la evolución de acciones bancarias como BBVA, ING, ABN Amro y PNB Paribas. En la sentencia el Supremo establece: “Confirmamos la nulidad de los contratos acordada en la sentencia de primera instancia, pero fundada en la existencia de error vicio”, “La información contenida en los contratos, cuando se trata de un producto complejo, no es suficiente. No basta con que en el contrato se haga mención de que el titular asume el riesgo de que la rentabilidad final del producto sea negativa […] pues se trata de una advertencia genérica”, “Es preciso ilustrar los concretos riesgos y advertir cuánto puede llegar a perderse de la inversión y en qué casos, con algunos ejemplos o escenarios”. Además, el hecho de que los clientes fueran de banca privada no les convierte en inversores profesionales, ni siquiera por el hecho de que ya hubieran destinado su dinero a productos similares.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023