En Reino Unido han sido exhortadas diferentes organizaciones deportivas a reforzar su ciberseguridad tras un informe que reveló una serie de ataques contra varios clubs deportivos.
Carlos Dorantes
En Reino Unido han sido exhortadas diferentes organizaciones deportivas a reforzar su ciberseguridad tras un informe que reveló una serie de ataques contra varios clubs deportivos.
Entre estos, un intento de interferir en un proceso de transferencia en la Premier League que casi obliga a que un partido fuera detenido.
En el primer informe sobre amenazas informáticas dirigidas hacia organizaciones deportivas llamado, el Centro Nacional de Ciberseguridad del Reino Unido destacó un tipo de fraude conocido como BEC (Bussiness Email Compromise), como la mayor amenaza para las organizaciones deportivas.
Las ganancias financieras son la principal motivación para los atacantes detrás de estos fraudes.
La industria del deporte es un blanco de ataque ya que aporta 37 mil millones de libras (47 mil millones de dólares) a la economía del Reino Unido cada año.
El Centro Nacional de Ciberseguridad destacó un incidente en el que la cuenta de correo electrónico perteneciente al director general de un club de la Premiere League se vio “comprometida” durante una negociación que involucró una transferencia de un millón de libras.
Para esto los atacantes enviaron un correo de pishing, especialmente dirigido que llevo al director general a una falsa página de inicio de sesión de Office 365 donde involuntariamente entrego sus contraseñas
“Los atacantes suplantaron la identidad del director del club y se comunicaron con el club europeo que formaba parte de la negociación. Simultáneamente, crearon una cuenta de correo electrónico falsa y se hicieron pasar por el club europeo que estaba en comunicaciones con el verdadero director”, indicó el informe.
Afortunadamente para el director general del club deportivo, el banco involucrado en la transferencia intervino a tiempo y frustró la estafa, una situación similar fue cuando el Club de Football Lazio de la Serie A de Italia fue engañado por 2.2 millones de dólares.
Este ataque que aparentemente pudo comenzar por una infección a través de correo electrónico o del acceso remoto al sistema de Circuito Cerrado de Televisión provocó el corte de las cámaras de seguridad y también de los molinetes, lo que casi obliga a la suspensión de un partido.
El equipo se negó a pagar el rescate de 400 bitcoins (4 millones de dólares al día de hoy) y finalmente se recuperó, no sin antes incurrir en pérdidas de cientos de miles de libras.
Luego de haber auditado sus sistemas, el club descubrió que carecía de suficientes controles de seguridad, que no había invertido lo suficiente en infraestructura de ciberseguridad y que carecía de plan de respuesta ante estas situaciones.
“Instalar de forma regular las actualizaciones de seguridad para los diferentes sistemas, así como tener un backup de la información, son solo algunas de las recomendaciones que las organizaciones deberían implementar”, menciona Camilo Gutiérrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
En otro caso de estafas hacia organizaciones deportivas, un empleado de un hipódromo en el Reino Unido quiso comprar equipo para el mantenimiento del mismo, esto a través de eBay, acordó con un vendedor un pago de 15 mil libras por el equipamiento, este le envió un mensaje que lo redirigió a una falsa cuenta de eBay y realizo el pago, aunque más tarde se dieron cuenta de este error, el dinero no se pudo recuperar.
El informe del Centro Nacional de Ciberseguridad, menciona que al menos el 70% de las organizaciones deportivas encuestadas experimentaron algún tipo de incidente de seguridad informática, con 3 de cada 10 incidentes que terminaron provocando daños financieros directos a los clubes apuntados. El costo de estos incidentes fue de más de 10 mil libras (12. 700 de dólares), mientras que la perdida individual más grande fue de 4 millones de libras (5.1 millones de dólares).
“La ciberseguridad no distingue industrias, el mayor atractivo es el dinero y siempre que haya transacciones de este tipo, habrá estafas e intentos de engaños para parte de los cibercriminales. Si bien son relativamente nuevos los ataques al sector deportivo, queda en evidencia que las pérdidas por no tomar las precauciones necesarias son altas. El primer paso para mantenerse protegido es la educación y conocer los riesgos a los que se está expuesto a partir de ahí, se puede mejorar la ciberseguridad”, concluyó Camilo Gutiérrez.
