En las últimas semanas, los clubes de fútbol argentino han sido blanco de una serie de ciberataques que afectaron a Racing Club, San Lorenzo y, más recientemente, al Club Atlético Vélez Sarsfield. Estos incidentes ponen en manifiesto las debilidades en la seguridad digital de las instituciones deportivas, en un contexto de controversia sobre la posible implementación de Sociedades Anónimas Deportivas (SAD).
La filtración masiva de datos a Vélez Sarsfield atravesó las clásicas etapas de un ciberataque en donde el actor malicioso toma venganza por negar el ataque y esto lo hemos detectado una y otra vez.
El 18 de septiembre, Birmingham Cyber Arms reveló que se habían expuesto 180.000 registros (líneas de información) de socios del club, que incluían información sensible: nombre, apellido, DNI, número de teléfono celular y otros datos personales, incluyendo fotos carnet.
Ni la directiva ni el área de prensa de Vélez han respondido a las consultas de C5N sobre lo sucedido. Sin embargo, días después del ataque, el club emitió un comunicado negando el ciberataque publicado en su web y redes sociales.
Como respuesta a esta negación, el 22 de septiembre, el actor malicioso conocido como MimiChan puso a la venta en un foro de la dark web 17.000 fotos de los carnets de socios, un archivo de 561MB que destacaba la imagen del reconocido artista argentino Bizarrap, sin su icónica gorra ni gafas. El DJ y productor musical, Gonzalo Julián Conde aka. Bizarrap, es un hincha declarado de Vélez Sarsfield y suele vestir con orgullo la camiseta del club en sus shows.
bizarrap
Foto del carnet de Bizarrap, Gonzalo Julián Conde. Fuente: BCA
En la publicación, MimiChan, menciona e insulta a la empresa Cleversoft. Dicha compañía ofrece servicios de gestión empresarial, manejo de bases de datos, CRM y banking a Velez y otros clubes.
Los ciberataques a otros clubes y sus conexiones
La primera brecha de seguridad fue a Racing Club de Avellaneda, el 21 de Agosto. Como habíamos informado en C5N.com, el ciberdelincuente Rufus puso a la venta una base de datos que contenía 211.000 registros (cabe aclarar que cada registro se trata de cada uno de los campos completos en la base de datos y no necesariamente de cada socio, un mismo socio puede contener por ejemplo 4 registros) que incluía emails, DNI, edad, domicilio, afectactando incluso a menores de edad. Esta información fue reportada por BCA (Birmingham Cyber Arms).
A pesar de la gravedad del incidente, el club negó el ataque inicialmente, afirmando que su plataforma funcionaba correctamente. Adicionalmente se negaron a proporcionar información adicional y no existió comunicado oficial dirigido a sus socios a pesar que los mismos exigían explicaciones. Es importante destacar que la integridad operativa de una plataforma no excluye la posibilidad de que haya ocurrido un hackeo o filtración de datos.
A principios de septiembre por razones de fuerza mayor se conoció la filtración a San Lorenzo de Almagro, ya que varios socios del club se encontraron con el vaciamiento de sus cuentas bancarias al tener tus tarjetas de crédito o débito en la modalidad de débito automático. Los montos de las perdidas de los socios fueron entre los $250.000 a $800.000. El club dio aviso posterior a las denuncias de vaciamiento y responsabilizó a Cleversoft, la misma empresa que presta servicios a Vélez Sarsfield y fue nombrado por MimiChan.
La palabra de Cleversoft
En conversación con el director ejecutivo de Cleversoft, Gabriel Centenari, consultamos sobre la responsabilidad ante el vaciamiento de cuenta de los socios de San Lorenzo y la filtración masiva de datos Vélez Sarsfield.
“La base de datos filtrada de Vélez, es de fácil acceso, no detectamos que se trate de una vulnerabilidad técnica en los sistemas de Cleversoft o el club, sino que estamos investigando de manera conjunta si es un problema de log in por parte del club, en donde se haya filtrado toda la información”.
Hay que aclarar que es habitual que los ciberataques sucedan no solo por fallas técnicas, sino por la mala administración de permisos y falta de auditorías, que es lo que podría haber ocurrido si esta fuera la razón.
Desmentir ciberataques o no decir nada
La tendencia de negar o silenciar los ciberataques no solo agrava los problemas de seguridad, sino que también pone en riesgo a los afectados. Si San Lorenzo hubiera comunicado el ataque oportunamente, los socios podrían haber tomado medidas preventivas con sus bancos para evitar el vaciamiento de sus cuentas.
Tanto Racing como Vélez tienen la responsabilidad de informar a sus socios para prevenir posibles fraudes, robos de identidad o ataques de ingeniería social, que pueden ocurrir de manera inmediata o incluso tiempo después del incidente, independientemente de sus proveedores o seleccionados ante licitación.
Actualmente, la Ley de Protección de Datos Personales 25.326 lleva más de 20 años sin actualizarse, y no contempla la realidad de las redes sociales ni del internet moderno, tampoco el de la incorporación de DPO (delegado de protección de datos). En lo que va del 2024, se estima que más de 1.500 millones de datos se filtrarán a nivel mundial, lo que subraya la urgencia de mejorar las infraestructuras de ciberseguridad en Argentina.