Una final de la Champions amb desenes de milers d'espectadors a l'estadi i milions seguint la transmissió; un concert multitudinari amb sistemes electrònics gestionant accessos; fins i tot un partit de futbol local amb tota l'operació de ticketing i dades d'abonats. Darrere de l'eufòria esportiva i musical, els esdeveniments massius s'enfronten a riscos de ciberseguretat molt reals.
Aquest post serà un post en “tercera persona analítica”, on explorarem casos sonats de ciberatacs en esdeveniments esportius i extreurem el que nosaltres veiem com a lliçons valuoses que volem compartir amb vosaltres.
Veurem com els ciberdelinqüents juguen el seu propi partit atacant infraestructures, robant dades de fans, sabotejant retransmissions o extorsionant amb entrades robades. Cada incident ens deixa aprenentatges aplicables no només a futurs esdeveniments esportius, sinó també a sectors com retail o entreteniment que comparteixen la necessitat de protegir operacions crítiques sota els focus mediàtics.
Comencem per la Super Bowl, que és potser l'esdeveniment esportiu anual més mediàtic als Estats Units, i un dels més importants del món, cosa que l'ha convertit també en un “superobjectiu” per als ciberdelinqüents. A mesura que s'acosta el partit, no només puja l'emoció... també els intents d'estafa i sabotatge digital.
Dies o setmanes abans, comencen a circular webs falses, correus que prometen entrades exclusives o marxandatge oficial, i fins i tot emails que es fan passar per l'organització per robar dades. Ja ha passat: el 2023, uns correus van suplantar el comitè de l'esdeveniment per enganyar proveïdors. La gent es confia per l'emoció del moment, i és aquí on ataquen.
Però els ciberatacs no només van a per als fans. El 2024, una empresa encarregada de l'espectacle a l'estadi va patir un atac que va deixar exposades dades personals de més de 5.000 persones. No es van ficar amb la NFL directament, van atacar un soci. Això va ser suficient. Des de llavors, es fan simulacres amb desenes d'empreses, cossos de seguretat i partners per preparar-se davant atacs: phishing massiu, ransomware, fuites de dades o fins i tot amenaces internes.
I sí, el ransomware també ha estat present. El 2021, els San Francisco 49ers van ser atacats just el cap de setmana del partit. Tot i que no jugaven, el moment va ser massa temptador per als atacants. Quelcom semblant va passar als Jocs Olímpics d'hivern del 2018: es va colar un malware durant la cerimònia d'obertura i va col·lapsar les xarxes. Des de llavors, moltes organitzacions esportives tenen plans B: comunicacions fora de la xarxa principal, torns manuals o equips preparats per reaccionar si alguna cosa falla.
Tampoc no se salven els fans. El 2023, un proveïdor extern de la NBA va ser víctima d'un ciberatac i es van robar dades de seguidors subscrits a butlletins. La mateixa NBA va haver d'avisar tothom per risc de phishing. Tot i que els seus sistemes no van ser tocats, el susto va ser real. Moraleja: qualsevol peça de la cadena pot ser la porta d'entrada.
Tornant a Espanya, el cas més recent el va protagonitzar el Deportivo de La Coruña, que fa uns dies va ser víctima d'un ciberatac que va comprometre la base de dades dels seus abonats. El mateix club ha confirmat que el 16 de maig van detectar una intrusió en un dels seus servidors al núvol, cosa que els va obligar a actuar amb rapidesa. Els atacants van aconseguir accedir a dades personals de milers de socis: nom, cognoms, DNI, adreça, email, telèfon… En definitiva, tot el necessari per llançar campanyes de phishing dirigides o fins i tot intents de frau més elaborats. Afortunadament, el club va assegurar que no es va accedir a dades financeres ni contrasenyes.
Després de contenir l'atac, el Deportivo va seguir els passos correctes: va notificar l'incident a la policia i a l'Agència Espanyola de Protecció de Dades, i va enviar un correu a tots els seus abonats alertant del succeït i demanant-los màxima precaució davant possibles trucades, correus o missatges sospitosos. Això és clau. Perquè amb un simple nom i telèfon, un estafador pot fingir ser del club i demanar una “verificació de dades” per renovar l'abonament o actualitzar la targeta de pagament. El club va anticipar bé aquest risc i ho va comunicar de forma clara i transparent, cosa que és una gran lliçó en gestió de crisi: no es tracta només de contenir el dany tècnic, sinó d'evitar que l'incident tingui una segona vida a través de la enginyeria social.
No es coneixen els detalls tècnics exactes, però en parlar d'una intrusió al núvol es pot sospitar des de credencials robades fins a un accés indegut a través d'alguna API mal protegida. El cert és que, com en tants altres casos, l'atac no depenia de la mida del club, sinó de la seva exposició digital. Avui dia, qualsevol pot ser d'interès perquè algú vulgui robar la teva base de dades i vendre-la en fòrums. Les dades d'aficionats tenen valor: serveixen per a campanyes de spam, estafes o fins i tot extorsió.
Aquest cas recorda un altre ocorregut no fa gaire. L'octubre de 2023, la Real Sociedad també va patir un ciberatac, molt més greu pel tipus de dades compromeses. En aquell cas, es van filtrar no només dades personals, sinó també comptes bancàries de socis i accionistes. L'atac va ser atribuït al grup de ransomware LockBit, que no només va robar la informació sinó que també la va xifrar, exigint un rescat. La Real va haver de demanar als afectats que vigilessin els seus comptes bancaris i es mantinguessin en alerta.
La comparació és clara: el Deportivo i la Real Sociedad van ser objectius d'amenaces diferents, però igual de reals, i ambdós van haver d'activar mecanismes de resposta. Això deixa una conclusió inevitable: els clubs de futbol, grans o petits, són avui custodis de dades sensibles, i tenen la mateixa responsabilitat que qualsevol empresa pel que fa a protecció, comunicació i compliment normatiu.
La champions league i la Tercera Divisió comparteixen una cosa més que el futbol: els ciberatacs no entenen d'escuts. I cada incident, per petit que sembli, ens recorda que la ciberseguretat és un partit que tots els actors de l'esport professional (lligues, clubs, patrocinadors i proveïdors) estan obligats a jugar.
Al final, la conclusió és clara: la ciberseguretat ja forma part del joc. Per a cada gran final, hi ha un equip darrere assegurant-se que res exploti en el món digital. I la clau no és esperar que passi alguna cosa, sinó assajar abans i tapar forats. Com qui entrena una jugada clau abans del gran dia.
El que va passar amb el Deportivo i la Real Sociedad no són excepcions: són senyals clares que l'esport, igual que qualsevol altre sector, necessita prendre's la ciberseguretat seriosament. Ja no es tracta només de protegir un servidor o tapar un error puntual, sinó de canviar l'enfocament complet amb què es gestiona la tecnologia en organitzacions que, a més de moure passions, gestionen dades personals, diners i reputació en temps real.
Les lliçons són clares: protegir la informació sensible com si fos or (perquè ho és), tenir un pla de resposta llest per quan alguna cosa falli, i sobretot avisar ràpid i amb claredat als afectats. Quelcom tan simple com un correu ben escrit, enviat a temps, pot evitar que centenars de persones caiguin en una estafa després d'una filtració.
També és fonamental entrenar el "mode crisi" amb antelació. Què passa si el dia d'un partit fallen els torns o es cauen els sistemes de cobrament? I si es pirateja la pantalla gegant o el marcador? Com en qualsevol esdeveniment, la improvisació en calent sol sortir cara. Per això, molts equips i lligues han començat a assajar aquests escenaris com si fossin part de la pretemporada.
I això no només va amb l'esport. Qualsevol que organitzi un concert, un festival, un Black Friday o una campanya d'e-commerce massiva pot aprendre d'aquests casos. Perquè, al final, les amenaces són les mateixes i les expectatives del públic també: que tot funcioni, que les seves dades estiguin segures i que ningú els enganyi amb un correu fals o una entrada trampa.
La gran conclusió que tots vosaltres sabeu és que la ciberseguretat ja no és una cosa de tècnics en una sala aïllada. És part de l'espectacle. Si es fa bé, passa desapercebuda. Però si falla, pot eclipsar-ho tot. Per això, cal assumir que jugar a l'ofensiva en seguretat prevenir, simular, educar és tan important com el talent al camp, a l'escenari o darrere d'una botiga en línia.
I si no, que ho preguntin a aquells que van pensar que el Deportivo no era "un objectiu interessant"... fins que algú es va emportar la base de dades dels seus abonats amb un sol clic.
