La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 400.000 euros a Bankinter por una brecha de seguridad en EVO Banco que expuso los datos de más de un millón de clientes. El error manual durante una migración de software permitió accesos no autorizados a información sensible. Bankinter ha aceptado la responsabilidad y ha pagado una cuantía final de 240.000 euros.
Detalles de la brecha de seguridad
La brecha se produjo en marzo de 2024 y estuvo abierta durante cuatro días. Un ciberdelincuente realizó hasta cinco millones de peticiones de datos, obteniendo información de más de 1,2 millones de clientes. Los datos expuestos incluían números de cuenta IBAN, declaraciones de IVA, ingresos mensuales y situación laboral.
Impacto en los clientes y medidas de seguridad
La AEPD alerta que la combinación de datos expuestos permite construir perfiles detallados de los clientes, aumentando el riesgo de fraude y suplantaciones de identidad. La entidad bancaria carecía de medidas de cifrado o anonimizado adecuadas, lo que permitió el acceso no autorizado a la información.
Cronología de los eventos
Bankinter adquirió EVO Banco en 2019 y la fusión definitiva se anunció en abril de 2024. La integración de los bancos concluyó el 14 de julio de 2025. Los ciberdelincuentes intentaron extorsionar a empleados del banco, publicando datos de clientes en la dark net.
