Organizaciones deportivas de todo el Reino Unido han sido instadas a reforzar su ciberseguridad después de que un informe revelara una serie de ataques contra varios clubes deportivos, incluido un intento de interferir en un proceso de una transferencia en la Premier League.
En su primer informe sobre amenazas informáticas dirigidas a organizaciones deportivas, llamado Cyber Threat to Sports Organizations, el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido destacó al tipo de fraude conocido como BEC (del inglés Business Email Compromise) como la mayor amenaza para las organizaciones deportivas, siendo las ganancias financieras la principal motivación para los atacantes detrás de este tipo de fraude denominado BEC. No es de extrañarse que la industria del deporte sea un blanco de ataque de aquellos que buscan robar dinero, ya que la misma aporta 37 mil millones de libras (47 mil millones de dólares) a la economía del Reino Unido cada año.
Quizás te interese: Investigan estafa informática alrededor de una transferencia entre el club PSG y Boca Juniors
Como ejemplo, el Centro Nacional de Ciberseguridad destacó un incidente en el que la cuenta de correo electrónico perteneciente al director general de un club de la Premier League se vio comprometida durante una negociación que involucraba una transferencia de 1 millón de libras (1,3 millones de dólares). Para ello, los atacantes enviaron un correo de phishing especialmente dirigido que llevó al director general a una falsa página de inicio de sesión de Office 365 donde involuntariamente entregó sus credenciales.
“Los atacantes suplantaron la identidad del director del club y se comunicaron con el club europeo que formaba parte de la negociación. Simultáneamente, crearon una cuenta de correo electrónico falsa y se hicieron pasar por el club europeo que estaba en comunicaciones con el verdadero director”, dijo el informe. Afortunadamente, un banco involucrado en la transferencia intervino a tiempo y frustró la estafa. En cierto modo, el incidente trae ecos de una estafa similar en la que, según los informes, el equipo de la Serie A italiana Lazio fue engañado por 2.2 millones de dólares.
El NCSC también destacó el caso de un ataque de ransomware a un club de la Premiere League que cifró prácticamente todos los dispositivos de usuario final así como varios servidores pertenecientes al club. El ataque, que aparentemente puede haber comenzado por una infección a través del correo electrónico o a través del acceso remoto al sistema CCTV, provocó el corte de las cámaras de seguridad y también de los molinetes, lo que casi obliga a la suspensión de un partido. El equipo se negó a pagar el rescate de 400 bitcoins (unos 4 millones de dólares al día de hoy) y finalmente se recuperó, pero no antes de incurrir en pérdidas de cientos de miles de libras.
Una vez que auditó sus sistemas, el club descubrió que carecía de suficientes controles de seguridad, que no había invertido lo suficiente en infraestructura de ciberseguridad y que no tenía un plan de respuesta ante emergencias de este tipo. Instalar de forma regular las actualizaciones de seguridad para los diferentes sistemas, así como tener un backup de la información, son solo algunas de las recomendaciones que las organizaciones deberían implementar. Para obtener más recomendaciones sobre cómo protegerse ante ataques de ransomware, asegúrese de consultar este whitepaper.
En otro incidente de seguridad, un miembro del personal de un hipódromo del Reino Unido quiso comprar en eBay equipamiento para el mantenimiento de las instalaciones y finalmente acordó con un vendedor pagar 15,000 libras (equivalente a unos 19,000 dólares) por algunos artículos listados. "En este punto, el vendedor envió al miembro del personal los detalles para el envío de la transferencia bancaria a través de un mensaje de eBay, desviando al miembro del personal a una falsa versión de eBay", explica el informe. El comprador realizó el pago y, aunque más tarde se dieron cuenta del error, no se pudo recuperar el dinero.
El scenario de la seguridad en las organizaciones deportivas
El informe del Centro Nacional de Ciberseguridad reveló también que al menos el 70% de las organizaciones deportivas encuestadas experimentaron algún tipo de incidente de seguridad informática o brecha, con 3 de cada 10 incidentes que terminaron provocando daños financieros directos a los clubes apuntados. El costo promedio de estos incidentes fue de más de 10,000 libras (unos 12,700 dólares) mientras que la pérdida individual más grande fue de 4 millones de libras (aproximadamente 5,1 millones de dólares).
"Si bien la ciberseguridad podría no ser una consideración obvia para el sector deportivo, nuestros hallazgos muestran que el impacto de los cibercriminales en esta industria es muy real", dijo Paul Chichester, Director de Operaciones en el NCSC. También instó a las organizaciones deportivas a mejorar su ciberseguridad para protegerse a sí mismas, así como a millones de fanáticos. Por ejemplo, para mitigar el riesgo de intentos exitosos de ataques tipo BEC se recomienda a las organizaciones implementar alguna forma de autenticación multi factor.
Mientras tanto, Sir Hugh Robertson, presidente de la Asociación Olímpica Británica, reconoció la importancia del informe y dijo: "La Asociación Olímpica Británica ve este informe como un primer paso crucial, ayudando a las organizaciones deportivas a comprender mejor la amenaza y destacando los pasos prácticos que las organizaciones deberían aprovechar para mejorar las prácticas de ciberseguridad ".