Mes Europeo de la Ciberseguridad

Wanda Metropolitano, estadio del Atlético de Madrid
Ampliar
Wanda Metropolitano, estadio del Atlético de Madrid

¿Es posible ciber secuestrar un estadio?

martes 20 de octubre de 2020, 10:30h

google+

linkedin

Comentar

WhatsApp

  • Compartir en Meneame

En diciembre de 2015 un ciberataque inutilizó tres centrales eléctricas en Ucrania dejando a cientos de miles de hogares sin electricidad durante seis horas. En mayo de 2019 durante más de tres semanas un ransomware inutilizó los sistemas informáticos de la ciudad de Baltimore dejándola a todos los efectos ciber secuestrada. No ha sido el único caso de ciudad ciber secuestrada: Riviera Beach (Florida), Del Rio (Texas), Valdez (Alaska), Atlanta (Georgia)… El pasado mes de junio un ciberataque paralizó varias plantas de producción del gigante del motor Honda en EE.UU. Y, más reciente aún, en septiembre, un ataque que afectó a 30 servidores del hospital universitario de Düsseldorf en Alemania obligó a cerrar el servicio de urgencias durante 13 días.

A medida que la tecnología se adentra en los deportes y en los grandes eventos deportivos haciéndolos más digitales, también crecen los recelos y los temores de los responsables de ciberseguridad a que los ojos de los cibercriminales se vuelvan hacia las infraestructuras deportivas, los clubes y los jugadores. Desde la gestión de marcadores y sistemas de video arbitraje, hasta operaciones de comercio electrónico dentro de los estadios; desde los servicios y tecnologías para enriquecer la experiencia, interacción y conectividad con los fans a todos los sistemas de recopilación de datos y estadísticas para entrenamientos y partidos; desde la gestión de infraestructuras hasta las vallas publicitarias todo está digitalizado y expuesto a riesgos. Si bien es cierto que la adopción de nuevas tecnologías en el deporte supone una gran oportunidad para su crecimiento y el desarrollo de nuevos negocios, los riesgos de seguridad asociados a la digitalización también crecen, como ocurre en cualquier otro negocio.

Y viendo los ejemplos anteriores de ciberataques a infraestructuras de misión crítica, cada vez son más los que se hacen la misma pregunta en el mundo del sportstech: ¿es posible ciber secuestrar un estadio?

En el mundo de la seguridad de la información, la seguridad 100% no existe

La respuesta, sobre la que no han querido pronunciarse diversas entidades deportivas contactadas, es obvia. Pues como bien saben en el mundo de la seguridad de la información la seguridad 100% no existe. De hecho, una serie de avanzados ciberataques durante la ceremonia de inauguración de los Juegos Olímpicos de invierno de Pyongyang en 2018 causaron varias interrupciones y afectaron a la web del evento.

Pero del mismo modo que hace décadas, antes de la irrupción de las nuevas tecnologías, los expertos en seguridad determinaron que los eventos deportivos suponían un gran riesgo difícil de controlar por la gran afluencia de personas, por la presencia de hinchadas rivales, el interés mediático, la posibilidad de llamar la atención, y la visibilidad de alto impacto… y se pusieron en marcha medidas (cámaras de vigilancia, controles policiales, barreras físicas…) y protocolos de evacuación y seguridad (como el Safety Act Program en EE.UU que desde 2008 ha certificado a una veintena de estadios, entre ellos el Levi’s Stadium, FedEx Field, Yankee Stadium o el Madison Square Garden) para velar y garantizar la seguridad física de los eventos deportivos y los estadios. También sería conveniente concienciar sobre los riesgos de ciberseguridad en el deporte conectado. Sobre todo, ante la irrupción de los estadios inteligentes (un negocio que va a mover 12.500 millones de dólares en 2023, según Markets and Markets), para revisar y unificar los protocolos en materia de ciberseguridad. Por ejemplo, la Interpol ya cuenta con un grupo de trabajo y asesoramiento dentro del proyecto Stadia para analizar riesgos de ciberseguridad de cara al próximo Mundial de Fútbol de Catar en 2022.

Las amenazas no son nuevas

Es lógico abogar por ese protocolo de ciberseguridad. Al fin y al cabo, si nos detenemos unos minutos a pensarlo, no se trata tanto de crear alarma, sino de entender que muchas de las cosas que podrían ocurrir o motivar un ciberataque digital en un estadio interconectado, ya han ocurrido en el mundo físico. Pensemos en estos diez posibles ejemplos:

  • ¿Ciber secuestrar un estadio? Septiembre Negro secuestró y asesinó a once miembros del equipo olímpico de Israel en la villa olímpica durante las Olimpiadas de Múnich de 1972.
  • ¿Alterar elementos del campo para influir en la competición? En las olimpiadas de Atenas la altura del potro en la final de gimnasia era incorrecta y varias gimnastas fallaron en la prueba hasta que una gimnasta australiana descubrió el error.
  • ¿Manipular un resultado o una decisión arbitral hackeando el VAR? Ya ha habido casos de amaños de partidos relacionados con las apuestas y las decisiones del VAR o el ojo de halcón en el tenis, siempre generan un aluvión de detractores.
  • ¿Alterar un cronómetro inteligente? En los Juegos Olímpicos de Londres la foto finish de la final de 100 metros mariposa fue incapaz de determinar si Phelps llegó antes que Cravic, pero el sistema de cronometraje dictó a favor del americano por 0,01 segundos.
  • ¿Timos en la venta online de entradas? En la reventa tradicional ya ha ocurrido con algunos ejemplos y sentencias de tribunales que recoge la Cadena Ser. Como las 189 entradas falsas que la Policía intervino para el Clásico de 2009 en un paquete procedente de Chile o el del hombre detenido por intentar robar una entrada a un aficionado del Athletic en 1997 y que resultó ser un ertzaina de servicio.
  • ¿Hackear móviles para robar datos financieros? La Asociación Nacional de Informadores Gráficos de Prensa y Televisión (ANIGP), denunciaba el año pasado la existencia de una banda que robaba material gráfico de los periodistas acreditados para los partidos en el Santiago Bernabéu y Wanda Metropolitano.
  • ¿Hackear cámaras de seguridad para espiar? El Granada C.F. denunció hace dos años ante la Policía Nacional una presunta red de espionaje en sus instalaciones del estadio Nuevo Los Cármenes y de su ciudad deportiva tras descubrir varias cámaras y micrófonos ocultos.
  • ¿Hackear los sistemas eléctricos para apagar un estadio? En junio de 2019 la caída de un nido de pájaro afectó al suministro eléctrico y paralizó durante 36 minutos el partido entre los Tampa Bay Rays y Los Angeles Angels dejando a oscuras a los 15.291 aficionados del Tropicana Field Stadium en Florida. Y el 4 de noviembre de 1994 en la inauguración de la temporada de la NBA entre los Spurs y los Warriors, en pleno festival de juegos artificiales controlados, los cañones de agua soltaron durante más de tres minutos más de 45.000 litros de agua, al no haberse apagado un detector de humo.
  • ¿Colar contenido inapropiado en los videomarcadores y vallas de publicidad? En la final de la Champions League de 2019 disputada en el Wanda Metropolitano y que enfrentó al Liverpool y al Tottenham, el mundo entero contempló a la modelo y streaker Kinsey Wolanski invadir el terreno de juego e interrumpir el partido enseñando publicidad de un canal pornográfico. Los casos de streakers invadiendo campos de juego se cuentan a centenares.
  • ¿Agitación social vía redes sociales? El año pasado la Asociación Nacional de Futbol Profesional (ANFP) de Chile canceló varios encuentros ante la imposibilidad de garantizar la seguridad por la oleada de protestas sociales y políticas. Y la Final de la Copa Libertadores 2018 con el superclásico del fútbol argentino entre Boca Juniors y River Plate se disputó, por primera vez en su historia, en Madrid.

La lista de ejemplos podría continuar. Pero lejos de lanzar titulares sensacionalistas y especular sobre el futuro de los ciberataques en el deporte (un estudio de la Universidad de Berkeley de 2017 ya analizaba y teorizaba sobre los posibles ciberriesgos de las Olimpiadas de 2028), hemos querido examinar de la mano de diferentes expertos en ciberseguridad los posibles riesgos, vectores de ataque y motivaciones para ciber secuestrar un estadio. De hecho, el informe del Center for long-term cybersecurity'' de la Universidad de Berkeley advierte que, si bien la mayoría de los ataques actuales se centran en los sistemas IT de los estadios y los sistemas de venta de entradas, los riesgos futuros incluirán ciberataques que afectarán a la integridad del partido y su resultado, así como a operaciones críticas del recinto deportivo.

Los ciberataques al deporte ya causan pérdidas

Y es que, como ocurre en cualquier otro sector de actividad, a la creciente digitalización de los deportes se suma el dinero que mueve el sector dentro y fuera de los estadios. Los millones de americanos que asisten a eventos deportivos en los estadios de EE.UU y otros grandes recintos para espectáculos aportan unos 40.000 millones de dólares a la actividad económica anual. En el Reino Unido la industria del deporte supone unos 37.000 millones de libras a la economía. No es de extrañar, que como ocurre en otras actividades, en el deporte la mayoría de los ataques también tengan una motivación económica. Según el informe The Cyber Threat to Sports Organisations elaborado por el National Cyber Security Centre, casi un tercio (el 30%) de los incidentes analizados causaron daños financieros directos a la organización víctima del ataque. Con un coste medio de unas 10.000 libras por cada brecha de seguridad, aunque alguna entidad deportiva reconoce pérdidas de más de 4 millones de libras.

El informe señala que el 70% de las entidades deportivas encuestadas reconoce al menos un ciberataque al año

El informe señala que el 70% de las entidades deportivas encuestadas reconoce al menos un ciberataque al año (más que el doble de la media sufrida por los negocios británicos) y que el 41% de los casos de ataques o brechas de seguridad, sirvieron para incorporar nuevas medidas de protección para evitar futuros incidentes. Entre los casos más llamativos recogidos en el informe destacan el de un equipo de la Liga de Fútbol Inglesa (EFL) que sufrió un ataque de ransomware que afectó a sus sistemas corporativos y de seguridad. Los ciber secuestradores pidieron un rescate de 400 bitcoins que el club no pagó pese a que el ataque le costó la pérdida de información almacenada, la inutilización del email corporativo, así como del sistema del circuito cerrado de televisión y los tornos de acceso, lo que casi obliga a cancelar un partido.

En otro ejemplo que demuestra el interés financiero, un directivo de un equipo de la Premier League sufrió un ataque de phishing que casi permite a los cibercriminales hacerse con un millón de libras del traspaso de un jugador al lograr robar las credenciales del directivo, monitorizar sus comunicaciones y hacerse pasar por el club de destino del jugador solicitando hacer el pago en una nueva cuenta bancaria.

Las motivaciones son diversas

Claro que las motivaciones para un ciberataque pueden ser diversas. Está el ejemplo de Football Leaks desvelando públicamente supuesta documentación nunca verificada sobre los contratos, costes de traspaso y salarios de futbolistas famosos, o los continuos ciberataques desvelados por Microsoft perpetrados desde Rusia y asociados al grupo Strontium, dirigidos a la agencia mundial antidopaje y a diversas organizaciones deportivas.

“Hay muchas razones para los ataques contra un estadio y tendríamos que definir qué parte del estadio es el objetivo"

Por lo general, lo que es valioso para la víctima es valioso para el actor de la amenaza. En la mayoría de los casos, esto viene en forma de datos sensibles o secretos comerciales que el atacante puede cambiar en la clandestinidad, pero en el caso de un estadio, el valor son los ingresos generados el día del juego”, afirma Mark Laliberte, senior security analyst de WatchGuard Technologies.

Para Candid Wüest, VP of Cyber Protection Research and Head of CPOC EMEA de Acronis, “hay muchas razones para los ataques contra un estadio y tendríamos que definir qué parte del estadio es el objetivo. Sistemas de control, taquilla online, redes inalámbricas, sistemas de entretenimiento, etc. La principal motivación de los ciberdelincuentes es el lucro, por lo que lo más probable es chantajear a los operadores o robar información sensible. Por supuesto, también podría haber alguien que solo quiera poner su nombre en las pantallas del estadio para reírse”.

"Aunque son muchas las causas que puedan llevar a una persona a llevar a cabo este ciber secuestro, lo cierto es que por lo general este tipo de eventos e infraestructuras carecen de valor para los atacantes

Los motivos que llevan a un grupo de personas a desarrollar un ataque pueden resumirse en dos, o bien conseguir notoriedad (muchas veces avisan o dan pistas de sus ataques futuros o próximas víctimas a través de las redes) o bien un beneficio económico”, asegura Juan José Navarro, ingeniero de seguridad de Radware. Y pone de ejemplo de ataques factibles el acceso al sistema de megafonía para reproducir un himno rival o cifrar la base de datos que gestiona los tornos de acceso. Siendo este último un ejemplo real como hemos comentado antes.

Para Eusebio Nieva, director técnico para España y Portugal de CheckPoint, los estadios aún no están muy presentes en el radar de los ciberdelincuentes por falta de motivaciones económicas. “Realizar un secuestro cibernético de un estadio deportivo no es para nada habitual, aunque es posible que existan motivos que empujen a ello, como mostrar contenido inapropiado a través de los marcadores y pantallas del estadio, intentar tomar el control de los sistemas del estadio (riego, megafonía, luz o incluso el sistema de video arbitraje), robar datos almacenados… Aunque son muchas las causas que puedan llevar a una persona a llevar a cabo este ciber secuestro, lo cierto es que por lo general este tipo de eventos e infraestructuras carecen de valor para los atacantes”, comenta.

Los vectores de ataque

Pero si alguien decidiera lanzar un ataque ¿por dónde empezaría? Informes de diversas instituciones coinciden en señalar algunos puntos atractivos y vulnerables como los sistemas informáticos de control del estadio, los videomarcadores, los sistemas de instant replay y revisión de jugadas, los sistemas con información confidencial y médica de los jugadores, puntos relacionados con el transporte y movimiento de personas (escaleras, ascensores, tornos…), los ecosistema de tecnologías orientadas al fan engagement y a hacer más inmersiva su experiencia y, en último lugar, especulan también con ataques orientados a infligir daños físicos (secuestro de atletas, crear caos y pánico, degradación de materiales…).

“El vector de ataque más efectivo sería seguramente el correo electrónico"

El vector de ataque más efectivo sería seguramente el correo electrónico. A partir de este punto, un atacante podría decantarse por la suplantación de identidad para obtener credenciales o directamente por la descarga y ejecución de un malware que permita acceder remotamente, mediante movimiento lateral, a los sistemas del club y realizar acciones maliciosas como el robo de información confidencial, el cifrado de la misma o incluso provocar un daño reputacional mediante la publicación de contenido polémico en redes sociales”, explica Josep Albors, responsable de investigación y concienciación de ESET España. “El robo de credenciales e información personal también podría dirigirse a miembros específicos del club, ya sea personal directivo, entrenadores o jugadores mediante campañas dirigidas y propagadas mediante emails, servicios de mensajería o SMS”, añade.

Un aparente inofensivo email de Peter Feigin, presidente de los Milwaukee Bucks de la NBA, en 2016 a un empleado acabó con la fuga de información personal y financiera de los miembros de la franquicia. Un caso de phishing que permitió la suplantación de identidad del directivo para hacerse con la información deseada.

"Lo más complicado sería poder acceder físicamente a la infraestructura, para eso se necesita mayor pericia o al menos es un ataque más planificado"

Por su parte Laliberte advierte sobre la creciente presencia de dispositivos IoT en el deporte y los riesgos que conllevan. “Los estadios sufren los mismos riesgos de ciberseguridad que vemos en las ciudades inteligentes cuando se conectan. Se están agregando tecnologías antiguas, anteriormente “tontas” a las redes más rápido de lo que las organizaciones pueden hacer planes para proteger esas tecnologías. Esta tecnología de IoT aumenta la superficie de ataque y permite a los atacantes potencialmente hacerse un hueco detrás del perímetro”.

Navarro insiste en que “el proceso de realizar un código o hacking para atacar algún elemento del estadio es sencillo, siempre y cuando se dedique tiempo y se tengan conocimientos. Sin embargo, lo más complicado sería poder acceder físicamente a la infraestructura, para eso se necesita mayor pericia o al menos es un ataque más planificado. Habría que encontrar un elemento conectado a internet dentro de la arquitectura y de allí hacer movimientos laterales para acceder a los elementos más sensibles”. Y recuerda que estos movimientos laterales para dar saltos entre diferentes sistemas para acceder al sistema deseado deben de estar muy bien planificados para ser cuidadosos para no generar alertas, lo que suelen llevar semanas o meses de preparación. De ahí que deba existir una importante motivación económica, hoy en día inexistente, para realizarla.

Algo en lo que coincide Nieva. “En principio, el principal punto débil sería la falta de medidas de seguridad. Como comentaba, no se conoce ningún caso en el que un cibercriminal haya secuestrado o atacado a un estadio deportivo, por lo que es fácil pensar que no hace falta aplicar herramientas de protección frente a ciber amenazas. Si bien es cierto que los estadios deportivos no se encuentran entre los primeros puestos de las listas de objetivos de los cibercriminales, este hecho no implica que no se deban adoptar medidas de seguridad. Al fin y al cabo, es fundamental estar protegido frente a cualquier tipo de amenaza, sea cual sea el entorno. Además, hay que tener en cuenta que los estadios deportivos son lugares cada vez más digitalizados y que potencian la conectividad”.

"Hay que tener en cuenta que los estadios deportivos son lugares cada vez más digitalizados y que potencian la conectividad”.

El problema es que no todos los estadios son iguales, cuentan con el mismo grado de digitalización, ni el mismo presupuesto para su gestión. En esa línea, la responsable de ciberseguridad de Acronis señala que “los estadios difieren mucho. Algunos pueden tener sistemas de control industrial para el agua conectados a Internet, otros aún dependen mucho de controles físicos no conectados, donde la seguridad física juega un papel mucho más importante. Por lo general, cualquier sistema conectado al que pueda acceder el atacante podría estar en riesgo. Esto incluye redes inalámbricas para invitados, sistemas de entretenimiento como pantallas y cada parte en línea débilmente conectada, como la plataforma de venta de entradas y las tiendas de merchandising. Una vez más, estos sistemas pueden configurarse y protegerse de forma segura con tecnologías adicionales, lo que dificulta elegir un punto más débil para todos los estadios.

Conscientes de las infinitas casuísticas que rodean a la gestión, mantenimiento y seguridad de un recinto deportivo, así como las diferencias en el grado de digitalización de los estadios, analizamos algunas de esas vías posible de ataque o los motivos detrás de un ciberataque.

Ataques integridad física y al IoT

Aunque los expertos coinciden en que no hay, hoy en día, una motivación suficiente para generar daños físicos lo cierto es que los dispositivos electrónicos podrían ser fácilmente manipulados para infligir daños físicos. La Universidad de Berkeley pone de ejemplo el escáner que podría ser manipulado para permitir a un terrorista entrar con armas a un recinto deportivo o el coche autónomo que podría controlarse desde el exterior para herir a un deportista o a los aficionados.

Sin embargo, sería más probable que el ciberatacante tratará de generar algún daño físico en los deportistas o los espectadores a través de una acción que creara cierto caos. Como, por ejemplo, hackear la megafonía o los videomarcadores para alertar de una amenaza de bomba y solicitar la evacuación del campo.

"Un atacante, por lo general, no centra sus esfuerzos en infligir daños físicos a una persona, sino que su verdadero objetivo se encuentra en el mundo virtual"

Podría darse la situación de que un hacker consiguiera generar algún percance físico a los asistentes al estadio, como por ejemplo dejarles encerrados en un ascensor. Sin embargo, es importante destacar que un atacante, por lo general, no centra sus esfuerzos en infligir daños físicos a una persona, sino que su verdadero objetivo se encuentra en el mundo virtual, es decir datos, contraseñas que permitan acceder a otros sistemas, etc…”, señala el experto de CheckPoint.

Laliberte pone de ejemplo un posible escenario de intrusión que podría resultar en daños o lesiones: “muchos sistemas modernos de control de incendios están conectados en red ahora para permitir el envío automático de los servicios de emergencia en caso de incendio. Un atacante con acceso a la red podría explotar potencialmente una vulnerabilidad en estos sistemas para activar una alarma de incendio y/o un sistema de rociadores, cualquiera de los cuales probablemente causaría daños o lesiones por el caos resultante”.

"Generar un apagón de luz y un mensaje que genere pánico por megafonía en un recinto donde hay miles de personas puede ser fatal”

Y en línea similar Navarro recuerda que “ya ha habido ataques que han causado heridos y muertos en otras ocasiones. Generar un apagón de luz y un mensaje que genere pánico por megafonía en un recinto donde hay miles de personas puede ser fatal”.

En esa línea, cualquier ataque a sistemas IoT podría afectar al riego del terreno de juego, haciendo que no esté en las condiciones óptimas para el día del partido (ya ha habido ejemplos de inundaciones que han obligado a posponer partidos), inutilizar torno, ascensores y escaleras mecánicas…

Pero como señalan desde WatchGuard Technologies, “hackear el sistema de riego, las luces o el aire acondicionado entra más en la categoría de hackeo de travesuras o gamberradas que típicamente se ve en los actores aficionados de amenazas que intentan hacerse un nombre. Pero yo no descartaría este ataque por completo, ya que un hacker malicioso que prefiera un equipo deportivo rival podría estar incentivado para meterse con estos controles”.

Ciber espionaje deportivo

Dado el gran volumen de datos sensibles que se generan en un evento deportivo (como por ejemplo datos médicos ahora con la identificación de los positivos por coronavirus o datos relacionados con métricas de entrenamiento y rendimiento) una brecha de seguridad pondría en jaque a los equipos y la reputación de los jugadores. A lo que habría que sumar los costes financieros de las multas asociadas a la fuga de datos. Ahí están los ejemplos de los hackers rusos que accedieron a la Agencia Mundial Antidopaje o a los registros médicos de los ciclistas británicos Bradley Wiggins y Chris Froome para desacreditar sus victorias en el Tour de Francia.

Pero también se dan casos de ciberespionaje. Aunque son más habituales en el mundo del motor en busca de los últimos secretos de ingeniería y propiedad intelectual, también se han dado en los despachos y los vestuarios. La proliferación de pizarras inteligentes, tablets y wearables conectados a todo tipo de sensores IoT generan información muy valiosa para conocer las tácticas de los rivales. Newsweek se hacía eco del ex director de scouting de los St Louis Cardinals, Chris Correa, sentenciado a 46 meses de prisión y condenado a pagar 279.000 dólares en compensación por el robo de información de la base de datos de un equipo rival.

“Los hackers o atacantes buscan notoriedad o beneficio económico en los ataques, se invierte mucho tiempo en un ataque efectivo y se suele utilizar la ‘bala de oro’"

Ataques de este tipo no son descartables. Al fin y al cabo, como apuntan desde Radware: “los hackers o atacantes buscan notoriedad o beneficio económico en los ataques, se invierte mucho tiempo en un ataque efectivo y se suele utilizar la ‘bala de oro’. Es decir, tener claro el objetivo del ataque, y realizar dicho ataque en los menos pasos posibles… una vez que el ataque se está ejecutando se pierde el factor sorpresa. Está claro que algo así causaría un buen trastorno a los responsables, entrenadores o incluso al desarrollo del partido, pero el beneficio para el hacker sería bastante bajo. Y eso que técnicamente es sencillo ya que en realidad no hay mucho interés en proteger ese tipo de sistemas”.

Y uno de esos sistemas podrían ser los equipos de ayuda de video arbitraje, o el VAR.

Hackear el VAR

Introducido en el fútbol en 2016 a modo de prueba y lanzado oficialmente durante el Mundial de Rusia de 2018 (donde contaba con una media de 33 cámaras de seguimiento en cada partido), los sistemas de video arbitraje serían otro punto de interés para los hackers. Al fin y al cabo, un error en el VAR puede afectar al resultado de un partido y, al margen de la repercusión en la clasificación, tiene un impacto en las casas de apuestas, donde podría estar la motivación financiera de los hackers. En 2018 la casa de apuestas William Hill fue multada con 6,2 millones de libras, la segunda mayor cuantía a un operador de apuestas, por sus errores sistemáticos para prevenir el lavado de dinero.

En el caso del VAR en España, en LaLiga Santander el número de cámaras depende de la trascendencia del encuentro. Desde las más de 30 cámaras de un clásico, hasta las 22 (categoría A), 17 (categoría B) y 14 (categoría C. En la segunda división, LaLiga Smartbank, hay 10 u 8. En función del número de cámaras se determina el número de operadores de cámara y de operarios que acompañan a los árbitros en la sala del VAR.

Tanta gente involucrada, permitiría facilitar un primer acceso físico al sistema, y tanta cámara conectada, podrían despertar el interés de un atacante, con el trasfondo de las apuestas deportivas. Aunque los expertos lo ven poco probable aún.

Los sistemas cerrados son, en general, más difíciles de romper que los totalmente conectados. Si el sistema VAR despliega una adecuada segregación e inspección de la red, tienen más posibilidades de detectar los ataques y el malware antes de que puedan causar daños”, destaca Laliberte.

No obstante, el informe de la Universidad de Berkeley no descarta ataques de este tipo en el futuro. No ya sólo poniendo el VAR en el punto de mira, sino todos los dispositivos wearables que llevan los árbitros y los jugadores. Por ejemplo, para controlar el tiempo. Ya sea marcadores del estadio o dispositivos wearables con cronómetro. En el fútbol que secuestren un par de décimas a un partido, sería insignificante, pero en una carrera de motos, coches, vela, piraguas, caballos… unas décimas pueden determinar el éxito o el fracaso. De hecho, en el reglamento de natación no sólo se utilizan sistemas electrónicos automáticos para la medición del tiempo, sino que sus resultados son válidos salvo que se demuestre que el sistema ha fallado.

Anuncios incómodos en videomarcadores

En octubre de 2016 un joven ingeniero fue detenido como autor del hackeo de una gran pantalla digital de publicidad en Yakarta (Indonesia) y emitir durante cinco minutos una película pornográfica japonesa en plena hora punta. No es por tanto descartable, una acción similar en un estadio, como alternativa más sencilla a superar las barreras físicas de seguridad para que un streaker corretee por el campo.

"Dependiendo de la tecnología y el punto de apoyo del atacante, no está fuera de la posibilidad que puedan tomar el control de la alimentación de vídeo y mostrar lo que deseen"

Cualquier cosa puede ser hackeada con suficiente esfuerzo. Dependiendo de la tecnología y el punto de apoyo del atacante, no está fuera de la posibilidad que puedan tomar el control de la alimentación de vídeo y mostrar lo que deseen”, subraya Laliberte.

Este tipo de sistemas están muy monitorizados por los propios anunciantes y, en caso, de que fueran atacados la solución más rápida y efectiva sería apagar el dispositivo. Causaría risa en las redes o algo así, pero no creo que vayan a invertir mucho tiempo en este tipo de ataques”, opina Navarro.

Las vulnerabilidades del aficionado

Si el estadio ofrece vulnerabilidades y atractivos para los ciberatacantes, los espectadores tampoco pasan desapercibidos. En tanto que llevan dispositivos conectados y, normalmente asociados a alguna tarjeta de crédito, serían el otro gran vector de ataque dentro de un estadio.

Las vías para hacerlo son numerosas y similares a las que podemos encontrarnos fuera de un recinto deportivo, como un centro comercial o un museo. Una de las más fáciles sería montar una falsa red Wi-Fi vinculada al nombre del estadio o del club, para empezar a capturar tráfico y datos de unos incautos aficionados.

Los ataques Wi-Fi de tipo ‘Evil Twin’, en los que un atacante falsifica un nombre wireless legítimo, son sumamente fáciles de realizar, en gran parte porque la mayoría de las organizaciones no despliegan herramientas capaces de detectar y bloquear este estilo de ataques. Una vez que un atacante logra que una víctima se conecte a su punto de acceso falso, abre toda una serie de escenarios de ataque para comprometer la información de esa víctima”, explica Laliberte.

Otra opción sería subir a los diferentes marketplaces de aplicaciones para smartphones una falsa app del club de modo que cuando el usuario se la instalara en su dispositivo sus datos estarían comprometidos. “Esto es fácil de hacer para un atacante y vemos muchas aplicaciones falsas que se hacen pasar por marcas oficiales”, advierte Wüest.

Aunque desde Radware creen que ya se están tomando medidas. “Este tipo de ataques es más complejo, normalmente las aplicaciones ya vienen firmadas y con ciertos mecanismos de seguridad. Por supuesto si el club no tiene medidas de seguridad establecidas puede ocurrir un ataque (aunque sería algo fácilmente detectable). En el tema de aplicaciones ya hay bastante camino recorrido en cuanto a la seguridad”, apunta Navarro.

Otra forma de acceder a los usuarios sería mediante el hackeo de los servicios que se les ofrecen dentro del estadio: máquinas de vending, códigos QR maliciosos en tótems y marquesinas publicitarias… Pero los expertos coinciden en que es complicado y lleva tiempo, sobre todo porque requeriría que una parte del ciberataque se ejecutara de forma física.

Más que hackear un tótem o marquesina tendría mucho más sentido y sería mucho más efectivo al revés. Generar un código QR malicioso o replicarlo, pero con alguna vulnerabilidad para infectar todos los dispositivos de los usuarios que lo utilicen. De nuevo lo complejo aquí es acceder al dispositivo, acceder a uno o dos quizás sea factible, acceder a una red completa, manipularlos todos, y que los propios usuarios no se dieran cuenta es un ataque mucho más complejo y dedicado. Factible es, por supuesto”, valora Navarro.

Aunque la Universidad de Berkeley no descarta que, en un futuro, a medida que proliferan servicios autónomos de elaboración de comida (como Blendid, Creator, TeaBot o Zume) se podría acceder a los sistemas para alterar las dosis de los elementos escogidos para el menú. Principalmente pensando en deportistas que necesitan una cantidad de proteínas para su dieta, de forma que una ligera variación en las cantidades que pasaría de forma inadvertida a su paladar sí que podría afectar a su rendimiento deportivo.

Hackear perfiles sociales

Desde hace varios años los partidos también se juegan en las redes sociales, con clubes y jugadores compartiendo antes, durante y después del partido imágenes y vídeos, crónicas, promociones (con más de 238 millones de seguidores Cristiano Ronaldo es la persona más seguida en Instagram) o aprovechando para lanzar alguna protesta o indirecta. En la Super Bowl de 2019 en el Mercedes Benz Stadium, el operador AT&T dijo que los fans consumieron más de 58 terabytes de datos móviles en un radio de dos millas del estadio en la semana de la final. Sólo el día de la Super Bowl se consumieron 11,5 TB de datos móviles.

Intentar suplantar la identidad social de un jugador o un equipo no es difícil Según Keeper Security la contraseña más habitual de los equipos deportivos americanos es “Tiger”, seguido de sus diferentes variantes “T1ger” o “T1g3r,” o de otros apodos habituales de los equipos o sus mascotas: “Bluejay”, “Eagle”, “Bulldog”, “Gator”, “Cardinal”, “Wildcat” o “Hurricane”.

"No veo ninguna evidencia para creer que los jugadores o los responsables de las redes sociales de los clubes sean mejores que el humano promedio en la elección de una contraseña fuerte y única para sus cuentas"

A tenor de este estudio, no es de extrañar que el responsable de seguridad de Watchguard Technologies ponga en duda la seguridad de las contraseñas. “No veo ninguna evidencia para creer que los jugadores o los responsables de las redes sociales de los clubes sean mejores que el humano promedio en la elección de una contraseña fuerte y única para sus cuentas. Incluso si lo son, es increíblemente fácil crear un phishing creíble y convincente y engañar a las víctimas para que den esas credenciales directamente al atacante”.

Ha habido muchos casos en los que las cuentas de las redes sociales se vieron comprometidas, ya sea debido a contraseñas débiles, ataques de phishing, vulnerabilidades en los sistemas backend, con la ayuda de información privilegiada o problemas similares. En general, es relativamente fácil ingresar a algunas cuentas de redes sociales, pero puede ser difícil si se apunta a cuentas específicas que podrían estar protegidas con autenticación multifactor”, comenta Wüest.

Un ejemplo de ello fue la cuenta oficial de Twitter de la NFL americana y sus más de 24 millones de seguidores por entonces (ahora tiene más de 25,5 millones). Que un día amaneció con la triste noticia del fallecimiento de su comisionado Roger Goodell después de que un ciber atacante usurpara la cuenta durante casi media hora.

"Es el ataque tipo, el más sencillo y efectivo. Sin embargo, normalmente solo tiene repercusión mediática, y es sencillo de arreglar"

El ingeniero de Radware reconoce que “detrás de este tipo de ataques suele haber muchos despistes de usuario, pero es cierto que este tipo de ataques se pueden automatizar, generando robots que van realizando pruebas hasta encontrar una vulnerabilidad. Es el ataque tipo, el más sencillo y efectivo. Sin embargo, normalmente solo tiene repercusión mediática, y es sencillo de arreglar”.

Pero las redes sociales también tienen su lado positivo ya que pueden dar pistas sobre las intenciones de los cibercriminales a los responsables de seguridad de los equipos. Scott Ashworth, Director de Seguridad del equipo de soccer de la MLS Atlanta United, explicaba en una entrevista a Security Magazine que utilizan el OSINT Threat Detection & Investigations de Media Sonar que permite monitorizar en la web, en la Dark web y la Deep web, para analizar hashtags y perfiles de jugadores para garantizar que si se detecta alguna amenaza contra cualquier jugador en cualquier localidad, el equipo de seguridad reciba una alerta.

La tecnología también es parte de la solución

Si bien es cierto que varios de los escenarios descritos anteriormente son, hasta cierto punto especulativos, no dejan de ser ejemplos plausibles de ciberataques. Las circunstancias y grado de digitalización de cada club y cada estadio varían de forma exponencial. El nuevo estadio Santiago Bernabéu será un claro ejemplo de ello, a la estela de otros grandes recintos como el Wanda Metropolitano o el Camp Nou. Mientras que en clubes más humildes la transformación digital está lejos de su día a día.

Aunque la realidad es que la tecnología, ya sea para la venta de entradas, control de aforos, o la gestión de la página web, la tienda virtual o las redes sociales, por citar algunos ejemplos básicos, está presente de alguna manera. Es más, dentro de las nuevas medidas de acceso limitado a los estadios durante la época de pandemia del COVID-19 se plantea la toma de temperatura de los fans, lo que obligará a las entidades a poner en marcha un adecuado plan para la protección de datos personales de carácter médico, tal y como se refleja en el Reglamento General de Protección de Datos.

La tecnología también se presenta como el gran aliado de las entidades deportivas para la gestión de la seguridad de su estadio y de los fans

Por eso, tal y como ocurre en muchos otros sectores de actividad, además de una cara más vulnerable, la tecnología también se presenta como el gran aliado de las entidades deportivas para la gestión de la seguridad de su estadio y de los fans.

Por ejemplo, el jefe de seguridad del Atlanta United evalúa la percepción de seguridad de los fans en el estadio realizando encuestas preguntando sobre las medidas y tecnologías implementadas con el fin de garantizar que toda persona que acceda al recinto se sienta segura sin que la tecnología o la seguridad impidan disfrutar de su experiencia deportiva.

Una de las tecnologías de ayuda a la seguridad serían los drones y las cámaras inteligentes. El uso de ambos dispositivos permitiría desde monitorizar accesos o la temperatura de los asistentes, hasta detectar comportamientos agresivos sospechosos antes de que se produzcan. La combinación con Big Data permitiría establecer patrones de movimiento para predecir posibles intentos de agresiones por parte de las distintas hinchadas o avisar al personal de seguridad sobre la existencia de bultos sospechosos y armas de fuego o cuchillos.

También se podría utilizar Big Data e Inteligencia Artificial para predecir la afluencia de espectadores a un evento. Del mismo modo que a Walmart le permitió identificar la correlación entre cervezas y pañales, la combinación con cámaras inteligentes y beacons permitiría gestionar el flujo de coches en el parking comunicando la existencia de plazas libres y la circulación de personas a lo largo de todo el recinto deportivo, para llevarles de la forma más rápida posible hasta sus asientos o para gestionar las colas en las tiendas de merchandising o los puestos de comida.

El uso de cámaras IoT inteligentes contribuiría a optimizar los procesos en el recinto y aumentar la satisfacción y seguridad de los visitantes, pensando también en el nuevo escenario de asistencia a partidos en la pandemia del COVID-19.

"Los clubes deportivos deben apostar por implementar medidas de seguridad que protejan sus datos y los que recaban con la venta de productos online"

En definitiva, como recalcan desde Check Point, la prevención es la mejor estrategia de seguridad, ya sea para entornos corporativos, deportivos o en el ámbito privado. “En este sentido, los clubes deportivos deben apostar por implementar medidas de seguridad que protejan sus datos y los que recaban con la venta de productos online (entradas, merchandising, etc.), así como securizar todos aquellos servicios que estén automatizados y trabajen con conexión a internet. Para ello, sería importante implementar medidas de seguridad contra ataques de ransomware, un tipo de amenaza que los cibercriminales podrían utilizar contra un equipo para cifrar y bloquear sus equipos y pedir un rescate para liberar esa información”, considera Eusebio Nieva.

Josep Albors, de ESET deja, a modo de resumen, cinco consejos básicos de seguridad para clubes, jugadores, entrenadores y fans: Identificar aquellos activos cruciales que permiten la continuidad del negocio y establecer medidas para protegerlos y recuperarlos en caso de sufrir un incidente de seguridad; Asegurarse de tener actualizados tanto los sistemas operativos como las aplicaciones instaladas en todos los dispositivos usados. Lo mismo para aquellos sistemas y dispositivos encargados del buen funcionamiento de las comunicaciones y la seguridad perimetral; Comprobar que todos los empleados del club separan el uso profesional del personal en sus dispositivos, siendo siempre recomendable el uso específico frente al uso mixto; Realizar auditorías periódicas por parte de una empresa externa para identificar posibles agujeros de seguridad y solucionarlos para evitar que sean aprovechados por los atacantes. Está acción se debe complementar con cursos de formación y concienciación a los empleados; y contar con soluciones de seguridad tanto en los dispositivos endpoint como en servidores y monitorizar las posibles actividades maliciosas que se detecten, ya sea a través de un equipo de seguridad formado internamente o mediante una empresa externa especializada.

Puede que la ciberseguridad aún no sea uno de los grandes jugadores de las plantillas de los equipos. Aunque le queda poco a la vista de brechas de seguridad recientes como la sufrida la temporada pasada por el Leicester que permitió a los cibercriminales acceder a información personal y datos financieros de los clientes de su tienda virtual o la de los 90.000 fans que disfrutaban a principios de año del enfrentamiento entre los Oregon Ducks y los Wisconsin Badgers y cuyos datos personales de edad, sexo, si llevaban armas, si tenían registro delictivo junto al reconocimiento facial de su cara, fueron comprometidos.

No se trata de que los equipos deportivos fichen a un responsable de seguridad. Sobre todo, porque el grado de madurez digital de la mayoría de los equipos es mínimo. Pero “sólo aquellos que tengan un grado muy elevado de digitalización (no sólo por tener web, sino porque la infraestructura del estadio u otros elementos estén conectados a internet), tendrían la necesidad de contar con un responsable de ciberseguridad que establezca una estrategia de protección frente a amenazas virtuales”, advierta Nieva.

Por si acaso, la Roma anunció en mayo el fichaje de Acronis, el Borussia ya trabaja junto a ESET, y firmas como Checkpoint, Crowdstrike, Radware o WatchGuard Technologies también trabajan con diversas entidades deportivas. De esta manera, se aseguran una gran defensa para protegerse de los otros Messi y Cristiano del cibercrimen.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)
  • Compartir en Meneame

+

0 comentarios