El Supremo confirma la condena del informático que sembró el “caos” en el Banco Santander con un ciberataque
El Tribunal Supremo ha sentenciado que un informático tendrá que entrar en prisión por paralizar durante una semana el Banco Santander con un ciberataque denominado “bomba lógica” después de que en 2017 su empresa, una subcontrata de la entidad, decidiera “prescindir de sus servicios”. Los jueces, según ha sabido elDiario.es, han confirmado su condena de tres años de cárcel por causar el “caos” en el banco de Ana Patricia Botín, un ataque informático que tumbó 3.178 ordenadores de 839 oficinas y más de un centenar de puestos de caja durante casi una semana.
El caso, tal y como reveló este periódico, se remonta a marzo de 2017. El acusado trabajaba como informático y administrador de red en la ciudad financiera del Banco Santander en Boadilla del Monte, a través de la subcontrata Norma 4 Servicios Informáticos que a su vez prestaba servicios para Produban, empresa del propio banco. Uno de los primeros días de ese mes creó en el sistema interno del banco lo que se conoce como una “bomba lógica”: un código malicioso que se inscribe en secreto en una red informática a la espera de su activación en un momento específico para dañar el sistema.
Ese momento llegó unas semanas más tarde. La “bomba lógica”, según declaran probado en firme los tribunales, fue activada y sembró lo que el propio Tribunal Supremo define como el “caos” en el Banco Santander: seis días con 3.178 ordenadores inutilizados, 839 oficinas prácticamente bloqueadas y más de un centenar de cajeros automáticos afectados. Los peritos del proceso judicial cifraron el perjuicio al banco en 292.237,86 euros.
Los hechos probados de las resoluciones del caso explican por qué este informático decidió llevarse por delante el sistema informático de uno de los bancos más grandes del mundo: la empresa había “prescindido de sus servicios”. “Por ello”, dice el Supremo, instaló la “bomba lógica” que estalló con toda su fuerza días después en las tripas de la entidad. Él siempre ha alegado que no fue despedido sino que fue trasladado a otro banco, el BBVA, y que no tenía motivos para perpetrar ninguna venganza.
En un primer momento la Audiencia Provincial de Madrid le impuso un año y nueve meses de prisión, condena que no hubiera implicado su entrada obligatoria en la cárcel, pero el Tribunal Superior de Justicia aumentó la sanción a tres años de presidio, lo que sí puede llevar a su encarcelamiento obligatorio al haber sido confirmada recientemente por el Tribunal Supremo.
Tres años de cárcel y una multa de casi 100.000 euros, con su entonces empresa respondiendo de forma subsidiaria de una indemnización de 33.000 euros al Santander por los perjuicios causados. En su recurso, entre otros argumentos, el informático afirmaba que él “no ganaba nada con el sabotaje” y el Supremo contesta: “Fue el recurrente quien instaló una bomba lógica en el sistema del banco”.
Comité de crisis en Boadilla
A lo largo del juicio, la jefa de seguridad de la empresa del Santander explicó que esa mañana “se detectó que tres mil y pico ordenadores de más de 800 oficinas no arrancaban” y que se convocó un “comité de crisis”. La conclusión que sacaron fue que el condenado introdujo la “bomba lógica” a través de la máquina de salto. Todo el ataque había partido de un fichero de Excel y el informático, después, intentó borrar su rastro.
En su último recurso ante el Supremo, el informático condenado alegaba, entre otras cosas, que no existían pruebas de que él hubiera suplantado a otro usuario dentro del sistema para cubrir sus pasos, que es “extraño” que ninguna imagen de las cámaras de seguridad de la ciudad financiera del banco acredite que él estaba allí, que él “no ganaba nada con el sabotaje” y que, finalmente, todo era una investigación “manipulada” por la empresa del Santander “con el fin de evadir sus responsabilidades en el fallo de seguridad, intentando encontrar rápidamente un culpable, fuese quien fuese”.
El Supremo contesta que la velocidad para “encontrar al culpable del caos ocasionado” no excluía “la posible responsabilidad de la empresa y de sus sistemas informáticos”. El condenado fue “la única persona” que estuvo ese día en las instalaciones según los registros y aunque alegue que no fue despedido de Norma 4 sí lo fue de Produban, la empresa del banco, “pasando a prestar servicios en BBVA”.
Los jueces no dudan de su culpabilidad: “Fue el recurrente quien instaló una bomba lógica en el sistema del banco, que determinó que el día 21 de marzo de 2017 se produjera la inhabilitación e inutilización de forma simultánea de 3.168 equipos informáticos del Banco de Santander en toda España provocando la falta de operatividad de los equipos afectados entre los días 21 a 27 de marzo y afectando a la actividad de 839 oficinas”, resume la sentencia.
Parte del debate procede de cuando el Tribunal Superior de Madrid aumentó su condena hasta los tres años de cárcel al aplicar una versión más grave del delito de daños informáticos, al entender que usó un programa informático específico para reventar la red de ordenadores de las sucursales del Banco Santander. El Supremo, en la sentencia firme del caso, avala esta consideración.
“El concepto de bomba lógica proviene del término en inglés LogicBomb, y no es sino un programa informático (un conjunto de líneas de código) que se instala en una computadora y permanece oculto hasta cumplirse una o más condiciones preprogramadas para entonces ejecutar una acción. Es un programa maligno que se activa al momento de realizar una acción”.
Concluyen los jueces, por tanto, que el método que usó este informático “integra sin lugar a duda la modalidad agravada” del Código Penal para este tipo de delitos.
3