Txapeldunen final bat estadioan hamarka mila ikusleekin eta milioika jarraitzaile transmisioa; kontzertu jendetsu bat sarrera-sistemak kudeatzen; baita tokiko futboleko partida bat sarreren eta abonatu-datuen operazio osoarekin. Kirol eta musika euforiaren atzean, ekitaldi masiboek zibersegurtasun arrisku oso errealak dituzte.
Post hau “hirugarren pertsona analitikoan” izango da, non kirol ekitaldietako zibereraso ospetsuak aztertuko ditugun eta guk ikusten ditugun ikasgai baliotsuak aterako ditugun, zuenkin partekatu nahi ditugunak.
Ikusiko dugu nola jokatzen duten ziberkriminalek euren partida erasotzen azpiegiturak, zaleen datuak lapurtzen, emisioak sabotatzen edo sarrera lapurtuekin extorsionatzen. Gertaera bakoitzak ikasgaiak uzten dizkigu, ez bakarrik etorkizuneko kirol ekitaldietarako, baita retail edo entretenimendu bezalako sektoreetarako ere, kritikoak diren operazioak babesteko beharra partekatzen dutenak, hedabideen argitan.
Hasi gaitezen Super Bowl-arekin, Estatu Batuetako urteko kirol ekitaldi mediatikoena eta munduko garrantzitsuenetako bat dena, eta horrek ziberkriminalentzat “super-helburu” bihurtu duena. Partida hurbiltzen doan heinean, ez da bakarrik emozioa handitzen... baita iruzur eta sabotaje digitalaren saiakerak ere.
Egun edo aste batzuk lehenago, web faltsuak zabaldu ohi dira, sarrera esklusiboak edo merchandising ofiziala eskaintzen duten mezu elektronikoak, eta baita antolakuntzaren izenean datuak lapurtzeko mezuak ere. Jada gertatu da: 2023an, mezu batzuk ekitaldiaren batzordea imitatuz hornitzaileak engainatu zituzten. Jendea unearen emozioagatik konfiantza hartzen du, eta hor da erasotzen duten tokia.
Baina zibererasoak ez dira zaleetara bakarrik jotzen. 2024an, estadioan ikuskizunaren ardura zuen enpresa batek erasoa jasan zuen eta 5.000 pertsona baino gehiagoren datu pertsonalak agerian geratu ziren. NFLarekin zuzenean ez zuten egin, bazkide bati egin zioten erasoa. Horrek nahikoa izan zuen. Ordutik, ehunka enpresa, segurtasun indar eta bazkideekin simulazioak egiten dituzte erasoei aurre egiteko: phishing masiboa, ransomware, datu ihesak edo barne mehatxuak.
Bai, ransomware-a ere presente egon da. 2021ean, San Francisco 49ers taldeari erasoa egin zioten partidaren asteburuan bertan. Nahiz eta ez jokatu, unea erasotzaileentzat oso erakargarria izan zen. Antzeko zerbait gertatu zen 2018ko Neguko Olinpiar Jokoetan: malware bat sartu zen irekiera ekitaldian eta sareak kolapsatu zituen. Ordutik, kirol erakunde askok B planak dituzte: sare nagusitik kanpoko komunikazioak, ate mekanikoak edo ekipamenduak prest erreakzionatzeko zerbait oker badoa.
Ez dira salbatzen zaleak ere. 2023an, NBAko hornitzaile kanpoko batek zibereraso bat jasan zuen eta buletinetara harpidetutako jarraitzaileen datuak lapurtu zituzten. NBAk berak jakinarazi behar izan zien guztiei phishing arriskuagatik. Nahiz eta haien sistemak ukitu ez, beldurra benetakoa izan zen. Morala: kateko edozein pieza sarrera atea izan daiteke.
Espainiara itzulita, azken kasua Deportivo de La Coruña izan zen protagonista, egun batzuk lehenago zibereraso baten biktima izan zena, bere abonatuen datu-basea konprometitu zuena. Klubak berak baieztatu du maiatzaren 16an hodeiko bere zerbitzari batean sarrera bat detektatu zutela, eta horrek azkar jardutera behartu zituen. Erasotzaileek milaka bazkideen datu pertsonaletara sartu ziren: izena, abizenak, NAN, helbidea, posta elektronikoa, telefonoa... Laburbilduz, phishing kanpainak egiteko edo iruzur konplexuagoak saiatzeko beharrezko guztia. Zorionez, klubak ziurtatu du ez zela sarbiderik izan datu finantzarioetara edo pasahitzetara.
Erasoa geldiarazi ondoren, Deportivoak pauso egokiak jarraitu zituen: poliziari eta Espainiako Datu Babeserako Agentziari gertatutakoa jakinarazi zien, eta bere abonatu guztiei posta elektroniko bat bidali zien gertatutakoa ohartaraziz eta dei, posta edo mezu susmagarrien aurrean kontuz ibiltzeko eskatzeko. Hori funtsezkoa da. Izan ere, izen eta telefono soil batekin, iruzurgile batek klubeko kide dela diruditeke eta "datuen egiaztapena" eskatu dezake abonua berritzeko edo ordainketa txartela eguneratzeko. Kluba arrisku hori ondo aurreikusi eta argi eta gardentasunez komunikatu zuen, eta hori krisi kudeaketan ikasgai handia da: ez da soilik kalte teknikoa geldiaraztea, baizik eta gertaerak bigarren bizitza bat izatea saihestea ingeniaritza sozialaren bidez.
Xehetasun tekniko zehatzak ez dira ezagutzen, baina hodeian sarrera bat aipatzen denean, lapurtutako kredentzialetatik API bat babesik gabe erabiliz sartze okerra susmatzen da. Egia da, beste kasu askotan bezala, erasoa ez zela klubaren tamainaren menpekoa, baizik eta bere esposizio digitalaren menpekoa. Gaur egun, edozeinek izan dezake interesa norbaitek zure datu-basea lapurtu eta foroetan saltzeko. Zaleen datuek balioa dute: spam kanpainetarako, iruzurretarako edo baita extorsiorako ere balio dute.
Kasua ez da asko atzera joaten den beste baten oroitzapena. 2023ko urrian, Real Sociedadek ere zibereraso bat jasan zuen, datu mota konprometituen aldetik askoz larriagoa. Kasu horretan, ez ziren soilik datu pertsonalak iragazi, baita bazkide eta akziodunen kontu bankarioak ere. Eraso hori LockBit ransomware taldeari egozten zaio, informazioa lapurtzeaz gain, zifratzea ere egin zuena, salbuespen bat eskatuz. Realek eragindakoei kontu bankarioak zaintzeko eta alerta egoeran egoteko eskatu zien.
Konparazioa argia da: Deportivo eta Real Sociedad mehatxu desberdinen helburu izan ziren, baina berdin errealak, eta biak erantzuteko mekanismoak aktibatu behar izan zituzten. Honek ondorio inposible bat uzten du: futboleko klubek, handiak ala txikiak, gaur egun datu sentikorrak zaintzen dituzte, eta enpresa orok duen erantzukizun bera dute babesa, komunikazioa eta araudiaren betetzeari dagokionez.
Champions League eta Hirugarren Mailak futbolaz gain beste zerbait partekatzen dute: zibererasoek ez dute ezagutzen ezkutua. Eta gertakari bakoitzak, txikia izan arren, gogorarazten digu zibersegurtasuna kirol profesionaleko aktore guztiek (ligak, klubak, babesleak eta hornitzaileak) jokatu behar duten partida dela.
Azken finean, ondorioa argia da: zibersegurtasuna jokoa da jada. Final handi bakoitzaren atzean talde bat dago mundu digitalean ezer ez lehertzeko ziurtatzen. Eta giltzarria ez da zerbait gertatzea itxarotea, baizik eta aurretik entseatzea eta hutsuneak estaltzea. Egun handirako jokaldi giltzarri bat entrenatzen duenaren moduan.
Deportivo eta Real Sociedad-ekin gertatutakoa ez dira salbuespenak: kirolak, beste edozein sektore bezala, zibersegurtasuna serio hartu behar duela adierazten duten seinale argiak dira. Ez da zerbitzari bat babestea edo hutsune puntual bat estaltzea soilik, baizik eta teknologia kudeatzeko ikuspegi osoa aldatzea, pasioak mugitzeaz gain, datu pertsonalak, dirua eta ospea denbora errealean kudeatzen dituzten erakundeetan.
Ikasgaiak argiak dira: informazio sentikorra urre balitz bezala babestea (eta hala da), zerbait huts egiten duenean erantzuteko plana prest izatea, eta batez ere, kaltetuei azkar eta argi jakinaraztea. Posta ondo idatzia eta garaiz bidaltzea bezalako gauza sinple batek ehunka pertsona estafatik salba ditzake filtrazio baten ondoren.
Funtsezkoa da "krisi modua" aldez aurretik entrenatzea ere. Zer gertatzen da partida egunean txartelak huts egiten badu edo ordainketa sistemak behera egiten badute? Eta pantaila erraldoia edo markagailua hackeatzen badira? Edozein ekitalditan bezala, azkar improvisatzeak normalean kostu handia du. Horregatik, talde eta ligak hauek pretemporadaren parte balira bezala entseatzen hasi dira.
Eta hau kirolarekin bakarrik ez dator. Kontzertu bat, jaialdi bat, Black Friday bat edo e-commerce kanpaina masiboa antolatzen duen edonork kasu hauek ikasi ditzake. Azkenean, mehatxuak berdinak dira eta publikoaren itxaropenak ere bai: dena ondo funtzionatzea, datuak seguru egotea eta inork ez dezala engainatu posta faltsu batekin edo sarrera faltsu batekin.
Denok dakizuen ondorio nagusia da zibersegurtasuna ez dela teknikarien kontu bat bakardadean dagoen gelan. Ikuskizunaren parte da. Ondo egiten bada, nabaritu gabe pasatzen da. Baina huts egiten badu, dena itzali dezake. Horregatik, onartu behar da segurtasunean erasokorra jokatzea - prebentzioa, simulazioa, hezkuntza - zelai, eszenatoki edo online denda baten atzean talentuaren parekoa dela.
Eta bestela, esan dezatela Deportivo ez zela "helburu interesgarria" pentsatu zutenei... harik eta norbaitek bere abonatuen datu-basea klik batekin eramaten zuen arte.
