Club de la Premier League estuvo cerca de perder 1 millón de libras en una estafa

Por Press - 29/07/2020

ESET analiza un incidente de seguridad que afectó a un club de la Premier League y casi obliga a suspender un partido

En el primer informe sobre amenazas informáticas dirigidas a organizaciones deportivas, llamado Cyber Threat to Sports Organizations, el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido destacó al tipo de fraude conocido como BEC (del inglés Business Email Compromise) como la mayor amenaza para las organizaciones deportivas. Las ganancias financieras son la principal motivación para los atacantes detrás de este tipo de fraude. La industria del deporte es un blanco de ataque ya que aporta 37 mil millones de libras (47 mil millones de dólares) a la economía del Reino Unido cada año.

Como ejemplo, el Centro Nacional de Ciberseguridad destacó un incidente en el que la cuenta de correo electrónico perteneciente al director general de un club de la Premier League se vio comprometida durante una negociación que involucraba una transferencia de 1 millón de libras (1,3 millones de dólares). Para ello, los atacantes enviaron un correo de phishing, especialmente dirigido, que llevó al director general a una falsa página de inicio de sesión de Office 365, donde involuntariamente entregó sus credenciales.

Los atacantes suplantaron la identidad del director del club y se comunicaron con el club europeo que formaba parte de la negociación. Simultáneamente, crearon una cuenta de correo electrónico falsa y se hicieron pasar por el club europeo que estaba en comunicaciones con el verdadero director”, indica el informe. Afortunadamente, un banco involucrado en la transferencia intervino a tiempo y frustró la estafa. En cierto modo, el incidente trae ecos de una estafa similar en la que, según los informes, el equipo de la Serie A italiana Lazio fue engañado por 2.2 millones de dólares.

El NCSC también destacó el caso de un ataque de ransomware a un club de la Premiere League que cifró prácticamente todos los dispositivos de usuario final, así como varios servidores pertenecientes al club. El ataque, que aparentemente puede haber comenzado por una infección a través del correo electrónico o a través del acceso remoto al sistema CCTV, provocó el corte de las cámaras de seguridad y también de los molinetes, lo que casi obliga a la suspensión de un partido. El equipo se negó a pagar el rescate de 400 bitcoins (unos 4 millones de dólares al día de hoy) y finalmente se recuperó, pero no antes de incurrir en pérdidas de cientos de miles de libras.

Luego de auditar sus sistemas, el club descubrió que carecía de suficientes controles de seguridad, que no había invertido lo suficiente en infraestructura de ciberseguridad y que no tenía un plan de respuesta ante emergencias de este tipo. “Instalar de forma regular las actualizaciones de seguridad para los diferentes sistemas, así como tener un backup de la información, son solo algunas de las recomendaciones que las organizaciones deberían implementar”, menciona Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

En otro incidente de seguridad, un miembro del personal de un hipódromo del Reino Unido quiso comprar en eBay equipamiento para el mantenimiento de las instalaciones y finalmente acordó con un vendedor pagar 15,000 libras (equivalente a unos 19,000 dólares) por algunos artículos listados. El vendedor envió al miembro del personal, los detalles para el envío de la transferencia bancaria a través de un mensaje de eBay, desviándolo a una falsa versión de eBay. El comprador realizó el pago y, aunque más tarde se dieron cuenta del error, no se pudo recuperar el dinero.

El informe del Centro Nacional de Ciberseguridad menciona que al menos el 70% de las organizaciones deportivas encuestadas experimentaron algún tipo de incidente de seguridad informática o brecha, con 3 de cada 10 incidentes que terminaron provocando daños financieros directos a los clubes apuntados. El costo promedio de estos incidentes fue de más de 10,000 libras (unos 12,700 dólares) mientras que la pérdida individual más grande fue de 4 millones de libras (aproximadamente 5,1 millones de dólares).

La ciberseguridad no distingue industrias, el mayor atractivo es el dinero y siempre que haya transacciones de este tipo, habrá estafas e intentos de engaños para parte de los cibercriminales. Si bien son relativamente nuevos los ataques al sector deportivo, queda en evidencia que las pérdidas por no tomar las precauciones necesarias son altas. El primer paso para mantenerse protegido es la educación y conocer los riesgos a los que se está expuesto a partir de ahí, se puede mejorar la ciberseguridad”, concluyó Camilo Gutierrez de ESET Latinoamérica.

Artículos que te pueden interesar

Chile sufre más de 33 millones de ataques de acceso remoto en 2020

Ver más

ClubHouse: Falsa aplicación para Android roba credenciales de acceso de más de 450 aplicaciones

Ver más

47% de las empresas latinoamericanas utiliza tecnología obsoleta dentro de su infraestructura de TI

Ver más