Tres años de cárcel a un exinformático del Santander que bloqueó 3.000 ordenadores tras ser despedido

Un extrabajador del Banco Santander ha sido condenado a tres años de prisión por paralizar más de 3.000 ordenadores y decenas de sucursales durante casi una semana en marzo de 2017. El condenado, que ha recurrido esta sentencia ante el Tribunal Supremo, puso en marcha un mecanismo conocido como 'bomba lógica' desde su puesto en la ciudad financiera del banco en Madrid que entró en funcionamiento días después de su despido, aunque los tribunales no han conseguido determinar el móvil de su actuación. Si esta sentencia es confirmada, el extrabajador del Santander tendrá que entrar en prisión a cumplir condena.

La documentación judicial del caso, a la que ha tenido acceso elDiario.es, revela que el condenado era administrador de red en una empresa de informática que, en ese momento, prestaba sus servicios en la ciudad financiera del Banco Santander, el complejo de 250 hectáreas que el banco tiene en el municipio madrileño de Boadilla del Monte. Era marzo de 2017 y la empresa le comunicó que estaba despedido. Fue entonces cuando, según la Justicia, puso en marcha un mecanismo para atacar miles de ordenadores de cientos de oficinas desde el corazón de la entidad que preside Ana Patricia Botín.

Creó lo que se conoce como 'bomba lógica' o, en este caso, también 'bomba de tiempo': un malware preparado para entrar en acción cuando se da un evento, desde un inicio de sesión hasta la llegada de una fecha específica o el final de una cuenta atrás. En este caso, la 'bomba lógica' entró en funcionamiento el 21 de marzo de 2017, dos semanas después de su despido, y masacró la red informática del banco más grande del país durante seis días: un total de 3.168 ordenadores inutilizados en 839 oficinas de todo el país y un perjuicio económico tasado en más de 290.000 euros para la entidad.

El banco convocó un comité de crisis mientras pensaba, en un primer momento, que se trataba de un incidente operativo. El análisis de los ordenadores infectados detectó, sin embargo, un sabotaje informático en los sistemas de arranque.

Los investigadores no tardaron mucho tiempo en llegar al ordenador del trabajador que había sido despedido apenas unas semanas antes. En su ordenador había un archivo Excel de más de 40.000 líneas correspondientes a los ordenadores afectados. Desde ahí, además, se había conectado al fichero 'reboot' para ver que todo se había instalado correctamente y que el desastre informático estaba preparado para el 21 de marzo. Ese día estaba él solo en la oficina y había intentado, sin éxito, borrar su rastro tras conectarse a las 'máquinas de salto' que dan acceso a todos los ordenadores que finalmente saboteó en oficinas de todo el país.

Su horizonte judicial acaba de empeorar notablemente. Después del juicio, la Audiencia Provincial de Madrid le impuso un año y 9 meses de prisión por un delito de de daños en sistemas informáticos, condena que no implicaba su entrada en la cárcel, pero el Tribunal Superior de Justicia de Madrid acaba de elevar la pena hasta los tres años de prisión tras estimar un recurso de la Fiscalía. También crece su condena económica hasta los 99.000 euros con los que debe indemnizar a Produban, empresa propiedad del Banco Santander para la que trabajaba en ese momento a través de otra empresa de servicios informáticos. La responsabilidad civil subsidiaria recae en la empresa que directamente le pagaba la nómina, llamada entonces Norma 4.

Los jueces del Tribunal Superior de Justicia de Madrid endurecen su condena al entender que se le debe aplicar una versión más grave del delito de daños informáticos que desarrolla el artículo 264 del Código Penal. Una condena reservada para los que usan un programa informático específico para afectar o interrumpir de manera “grave” un sistema informático ajeno, en este caso la red de ordenadores de las sucursales del Banco Santander. En el juicio la Fiscalía llegó a pedir 5 años de prisión y una multa de más de 800.000 euros. Tanto la entidad como la empresa Produban - hoy Santander Global Technology - ejercieron la acusación en el caso.

La condena del acusado, según confirman fuentes del caso a elDiario.es, todavía no es firme y no ha entrado por tanto en fase de ejecución. Su defensa ha presentado un recurso ante el Tribunal Supremo y será la decisión de la sala de lo Penal la que ponga en marcha la fase final del caso. Una ratificación de su condena de 3 años de cárcel implicaría su entrada obligatoria en prisión aunque carece de antecedentes penales. Consultado por elDiario.es por este asunto, Banco Santander ha declinado hacer comentarios.

El móvil, irrelevante

La sala segunda del Tribunal Supremo tendrá que decidir en los próximos meses si inadmite o estudia el recurso del extrabajador informático del Banco Santander y analizar sus alegaciones: que las periciales no le pueden atribuir la creación o activación de la 'bomba lógica', que no hay pruebas que demuestren que suplantó a uno de sus compañeros para poner en marcha el proceso e, incluso, que él mismo fue víctima de una suplantación de identidad por la persona que ejecutó el ataque informático masivo. Además, dijo, no se ha acreditado qué le llevó a tumbar más de 3.000 ordenadores varias semanas después de su despido.

Es cierto que esa última incógnita nunca ha sido despejada por los investigadores. Los hechos probados no recogen la razón que le llevó a poner en marcha la 'bomba lógica' y él, en sus declaraciones ante los jueces, ha negado ser el autor del sabotaje. El Tribunal Superior de Madrid explica que su intención era “causar un daño patrimonial” al banco, y explica que el propósito subyacente no es importante: “No siendo relevante cual era el móvil en clave de satisfacción particular que perseguía”, dice el TSJ de la capital.

La primera sentencia del caso, que tuvo que ser posteriormente matizada por un auto, no se refirió al caso concreto pero analizó en términos generales el uso que se da a estas 'bombas lógicas' en otros casos similares. “Los empleados descontentos han creado bombas de tiempo para ejecutar dentro de las redes de sus organizaciones y destruir la mayor cantidad de datos posible en caso de que sean despedidos”, dijo la Audiencia Provincial de Madrid.

Otro de los grandes debates de este proceso judicial ha sido el dinero: determinar el agujero económico que el sabotaje provocó en las cuentas del Banco Santander y el dinero que la entidad tuvo que invertir para solventarlo. Las acusaciones pidieron más de 800.000 euros en multas además de una indemnización de 292.000 euros para el Banco Santander, cantidad que los hechos probados reconocen como la que perdió la entidad a través de un peritaje. La Audiencia de Madrid, en su primera sentencia, obligó al extrabajador a indemnizar al banco con 33.000 euros sumando el dinero que pagaron a Deloitte para hacer frente al ataque informático y el tiempo que dedicaron los propios empleados del banco.

En la segunda sentencia esta cantidad se triplica hasta rozar los 100.000 euros al seguir las directrices del nuevo delito agravado que le atribuyen, pero los jueces siguen sin obligarle a abonar otros 200.000 más por los trabajos pagados a El Corte Inglés, al entender los magistrados que “nada se preguntó en el acto de la vista relativa a los trabajadores de El Corte Inglés, en ningún momento se mencionó esta intervención, ni se trajo a ningún responsable para explicar los trabajos realizados, luego dado que la prueba corresponde a la parte, no puede recogerse este concepto”.