La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 400.000 euros a Bankinter por una brecha de seguridad originada en EVO Banco antes de su integración definitiva en el grupo. La sanción se debe a un fallo técnico que permitió el acceso indebido a información sensible de clientes durante un proceso de migración de software en 2024. Tras acogerse al pago voluntario y asumir la responsabilidad, la cuantía final se redujo a 240.000 euros.
El incidente se produjo por un “error manual” de configuración que permitió realizar consultas masivas a la base de datos sin necesidad de credenciales válidas. Según la resolución de la AEPD, los sistemas de validación verificaban que la información solicitada se entregara correctamente, pero no comprobaban quién realizaba las peticiones, lo que facilitó el acceso indebido a los datos.
Acceso masivo a información financiera y personal
La vulnerabilidad permaneció abierta entre febrero y abril de 2024. Durante ese periodo, un ciberdelincuente logró realizar hasta cinco millones de consultas, de las que más de 1,2 millones fueron exitosas. Aunque un informe pericial independiente indica que no hay pruebas de que toda la información pudiera ser descargada, la exposición afectó potencialmente a un volumen muy elevado de registros.
Entre los datos accesibles figuraban números de cuenta IBAN, declaraciones de IVA, ingresos mensuales, situación laboral y años trabajados, una combinación que permite elaborar perfiles personales muy detallados y aumenta el riesgo de fraude o suplantación de identidad.
Posteriormente, los atacantes publicaron información de 10 víctimas en la dark net como prueba del acceso y lanzaron una campaña de extorsión contra empleados de la entidad. Al no obtener respuesta al pago exigido, difundieron nuevos paquetes de información que incluían perfiles completos de 958 clientes y cuatro trabajadores.
La AEPD cuestiona las medidas de protección de datos
En su resolución, la AEPD señala que la entidad no contaba con medidas suficientes de cifrado o anonimización para proteger este tipo de información sensible, lo que permitió que los datos fueran visibles para terceros con acceso al sistema. El organismo considera que este fallo afectó a la confianza depositada por los clientes en el tratamiento seguro de su información personal.
La brecha se produjo semanas antes de la fusión definitiva entre ambas entidades. Bankinter adquirió EVO Banco en 2019, aunque ambas continuaron operando como filiales separadas hasta que la integración completa se formalizó el 14 de julio de 2025, momento en el que la entidad absorbente asumió también las responsabilidades legales derivadas de la gestión anterior.
