Club de la Premier League estuvo cerca de perder 1 millón de libras en una estafa. Organizaciones deportivas de todo el Reino Unido han sido instadas a reforzar su ciberseguridad después de que un informe revelara una serie de ataques contra varios clubes deportivos, incluido un intento de interferir en un proceso de una transferencia en la Premier League. ESET analiza un incidente de seguridad que afectó a un club de la Premier League y casi obliga a suspender un partido.
En el primer informe sobre amenazas informáticas dirigidas a organizaciones deportivas, llamado Cyber Threat to Sports Organizations, el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido destacó al tipo de fraude conocido como BEC (del inglés Business Email Compromise) como la mayor amenaza para las organizaciones deportivas.
Las ganancias financieras son la principal motivación para los atacantes detrás de este tipo de fraude. La industria del deporte es un blanco de ataque ya que aporta 37 mil millones de libras (47 mil millones de dólares) a la economía del Reino Unido cada año.
Como ejemplo, el Centro Nacional de Ciberseguridad destacó un incidente en el que la cuenta de correo electrónico perteneciente al director general de un club de la Premier League se vio comprometida durante una negociación que involucraba una transferencia de 1 millón de libras (1,3 millones de dólares).
Para ello, los atacantes enviaron un correo de phishing (ataque que se comete mediante el uso de Ingeniería Social con el objetivo de adquirir fraudulentamente información personal y/o confidencial haciéndose pasar por una persona o empresa de confianza), especialmente dirigido, que llevó al director general a una falsa página de inicio de sesión de Office 365, donde involuntariamente entregó sus credenciales.
Los atacantes suplantaron la identidad del director del club y se comunicaron con el club europeo que formaba parte de la negociación. Simultáneamente, crearon una cuenta de correo electrónico falsa y se hicieron pasar por el club europeo que estaba en comunicaciones con el verdadero director.
Cita del Informe.
Afortunadamente, un banco involucrado en la transferencia intervino a tiempo y frustró la estafa. En cierto modo, el incidente trae ecos de una estafa similar en la que, según los informes, el equipo de la Serie A italiana Lazio fue engañado por 2.2 millones de dólares.
El NCSC también destacó el caso de un ataque de ransomware (Código malicioso usado para extorsionar a sus víctimas) a un club de la Premiere League que cifró prácticamente todos los dispositivos de usuario final, así como varios servidores pertenecientes al club.
El ataque, que aparentemente puede haber comenzado por una infección a través del correo electrónico o a través del acceso remoto al sistema CCTV, provocó el corte de las cámaras de seguridad y también de los molinetes, lo que casi obliga a la suspensión de un partido. El equipo se negó a pagar el rescate de 400 bitcoins (unos 4 millones de dólares al día de hoy) y finalmente se recuperó, pero no antes de incurrir en pérdidas de cientos de miles de libras.
Luego de auditar sus sistemas, el club descubrió que carecía de suficientes controles de seguridad, que no había invertido lo suficiente en infraestructura de ciberseguridad y que no tenía un plan de respuesta ante emergencias de este tipo.
Instalar de forma regular las actualizaciones de seguridad para los diferentes sistemas, así como tener un backup de la información, son solo algunas de las recomendaciones que las organizaciones deberían implementar.
Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
En otro incidente de seguridad, un miembro del personal de un hipódromo del Reino Unido quiso comprar en eBay equipamiento para el mantenimiento de las instalaciones y finalmente acordó con un vendedor pagar 15,000 libras (equivalente a unos 19,000 dólares) por algunos artículos listados. El vendedor envió al miembro del personal, los detalles para el envío de la transferencia bancaria a través de un mensaje de eBay, desviándolo a una falsa versión de eBay. El comprador realizó el pago y, aunque más tarde se dieron cuenta del error, no se pudo recuperar el dinero.
El informe del Centro Nacional de Ciberseguridad menciona que al menos el 70% de las organizaciones deportivas encuestadas experimentaron algún tipo de incidente de seguridad informática o brecha, con 3 de cada 10 incidentes que terminaron provocando daños financieros directos a los clubes apuntados. El costo promedio de estos incidentes fue de más de 10,000 libras (unos 12,700 dólares) mientras que la pérdida individual más grande fue de 4 millones de libras (aproximadamente 5,1 millones de dólares).
La ciberseguridad no distingue industrias, el mayor atractivo es el dinero y siempre que haya transacciones de este tipo, habrá estafas e intentos de engaños para parte de los cibercriminales. Si bien son relativamente nuevos los ataques al sector deportivo, queda en evidencia que las perdidas por no tomar las precauciones necesarias son altas. El primer paso para mantenerse protegido es la educación y conocer los riesgos a los que se está expuesto a partir de ahí, se puede mejorar la ciberseguridad.
Camilo Gutierrez de ESET Latinoamérica.