Seguridad

Un pirata informático se coló en el sistema del Real Madrid y robó datos de jugadores, contratos y presupuestos

Utilizó el usuario y la contraseña de un trabajador del club que estaba de vacaciones. La Agencia Española de Protección de Datos confirma la intrusión

Estadio Santiago Bernabéu (Foto: Jesús Hellín / Europa Press).
photo_camera Estadio Santiago Bernabéu (Foto: Jesús Hellín / Europa Press).

Una brecha de seguridad en los sistemas informáticos del Real Madrid dejó al descubierto información sensible del club blanco, desde contratos de jugadores de la plantilla hasta informes sobre el seguimiento a otros profesionales, pasando por documentos de Excel con presupuestos de la entidad.

Así lo revela una resolución reciente de la Agencia Española de Protección de Datos, a la que ha tenido acceso Confidencial Digital y que se puede consultar pinchando aquí. Fue el pasado mes de septiembre cuando el Real Madrid comunicó a la División de Innovación Tecnológica de la agencia que había sufrido esa brecha de seguridad, relacionada con un ataque hacker a la web de la fundación del club.

El equipo de fútbol con sede en la Avenida de Concha Espina, en Madrid, tiene suscritos dos contratos de prestación de servicios relacionados con la protección de su red informática. Una empresa se encarga del mantenimiento de los sistemas de información, y con otra contrató el servicio de ciberseguridad prestado para la identificación de la brecha y la ejecución de un protocolo de respuesta a la incidencia.

La contraseña de un empleado de vacaciones

El primer indicio del ataque informático se conoció el 9 de septiembre de 2020, poco después de la media noche. Se identificó el acceso a la red del Real Madrid “desde una dirección IP desde la que no se suele acceder a dicho equipo”.

Ante esa alerta, se trató de identificar todos los últimos accesos realizados. Los informáticos detectaron “dos accesos llevados a cabo mediante la cuenta de un usuario de la organización que se encontraba en periodo vacacional por lo que resultan sospechoso y se comprueba que están relacionados con un acceso posterior al servidor”.

El 11 de septiembre se activó al equipo de Respuesta a Incidentes, y de su análisis se concluyó que “tras el acceso realizado a las 00:32 UTC del 9 de septiembre de 2020, se detecta además un acceso a una unidad de red disponible en el equipo, localizándose información de carácter aparentemente sensible relativa a presupuestos, información personal e información privada de la entidad”.

El 16 de septiembre la empresa que protege las redes del Real Madrid informó al club de una posible fuga de información. Un día después se detectó una copia de datos desde la unidad de red hacía el servidor y la descarga de dos herramientas a las 1:40 del día 9 de septiembre.

También se comprobó que se habían generado generación diferentes archivos comprimidos con los documentos mencionados, así como que se habían usado “diferentes servicios y aplicaciones relacionados con el envío e intercambio de documentos durante el rango temporal en el que el usuario sospechoso se mantiene en el equipo”. De nuevo se comunicó el hallazgo al Real Madrid.

Ya el 18 de septiembre “se correlaciona la información obtenida en el equipo, con los registros de red disponibles, siendo por lo tanto posible detectar un envío de datos hacía fuentes externas”.

El Madrid lo denunció a la Policía

El Real Madrid y las empresas que le prestan servicios de ciberseguridad tomaron varias acciones urgentes: reiniciar las credenciales de los usuarios comprometidos, establecer medidas para no permitir el uso de herramientas que permitan la autenticación en sistemas remotos sin requerir la introducción de credenciales, y bloquear el uso de determinadas plataformas.

El club comunicó lo sucedido a la Agencia Española de Protección de Datos y también a la Policía Nacional.

En la resolución de la agencia se indica que “el Real Madrid manifiesta que las averiguaciones de los proveedores de ciberseguridad y sistemas han sido infructuosas y que actualmente existe una investigación policial en curso, abierta a raíz de la denuncia interpuesta ante la Policía”.

Además comunicó que la brecha se produjo “como consecuencia de la utilización de las credenciales de un usuario [el trabajador que estaba de vacaciones] por un tercero ajeno a la organización”.

Lo que se ignora, o al menos así lo aseguró el Real Madrid en su última comunicación a la Agencia Española de Protección de Datos, es “cómo el supuesto atacante obtuvo las credenciales” de un empleado del club con acceso a los sistemas informáticos.

Contratos y datos de jugadores y técnicos

El club que preside Florentino Pérez tuvo que describir con ciertos detalles a qué información, y concretamente qué datos personales, había accedido el hacker que se coló en el sistema informático merengue.

En la resolución de Protección de Datos se indica que “los tratamientos de datos afectados por la incidencia” son relativos a dos ámbitos que define como “FUTBOL - Gestión Administrativa, Relación contractual y seguimiento de jugadores” y “RRHH - Gestión de relación laboral”.

Ya en el aviso del 11 de septiembre se alertó de que el pirata informático habría podido acceder a “información de carácter aparentemente, sensible relativa a presupuestos, información personal e información privada de la entidad”.

Más tarde, se concretó: “Los datos personales que se han visto afectados son los que se encuentran en los siguientes tipos de documentos: Contratos, licencias federativas, documentos, Excel de presupuestos y Otros documentos. Básicamente datos identificativos y económicos”.

Además, el Real Madrid comunicó que las personas afectadas por el robo de información son “personal de la entidad incluido jugadores y técnicos”, que cifra en unas 1.000 personas. Se trató por tanto de una fuga de información importante, que habría afectado a algunos futbolistas de la plantilla madridista.

Suplantaciones de identidad o daños al honor

Pese a verse comprometidos contratos, licencias federativas, informes de seguimiento de jugadores, documentos de recursos humanos, ficheros de presupuestos, el club quiso quitar importancia a la brecha de seguridad.

En sus contactos con la Agencia Española de Protección de Datos manifestó “que no considera que la información afectada en la incidencia, puedan producir suplantaciones de identidad, perjuicios económicos ni denegación de servicios”.

El Real Madrid tampoco cree “que con tal información se puedan ocasionar daños al honor o reputación de las personas afectadas en caso de hacerse pública, ni afectar a su dignidad ni producirles ningún tipo de discriminación por lo que no van a comunicar la incidencia a los afectados”.

Aunque sí admite que “evaluada la incidencia y concluido que existe un riesgo para los derechos y libertades de los interesados en función de lo indicado en el Anexo 1 y conforme al criterio reflejado por el Grupo de Trabajo del art. 29 (GT29), ahora Comité Europeo de Protección de Datos (CEPD) en sus Directrices sobre notificaciones de incidentes de datos personales adoptadas el 3 de octubre de 2017 y revisadas y finalmente adoptadas el 6 de febrero de 2018 se procede a la notificación a la Agencia, no así a la comunicación a los interesados siguiendo el mismo criterio”.

Rastreo de la Deep Web

Para seguir el rastro de la información a la que tuvo acceso el pirata informático, el Real Madrid ha estado durante este tipo rastreando Internet, incluida la Deep Web, es decir, páginas que no están indexadas en motores de búsqueda. En ocasiones en la Deep Web y en la Dark Web se difunden o se ofrecen a la venta datos personales robados a organizaciones por hackers.

En este caso, la vigilancia de los informáticos del Real Madrid no han detectado ninguna “actividad que pudiera reflejar el uso ilegítimo por parte de terceros de la información afectada por la brecha, sin que hasta la fecha se haya detectado nada al respecto”.

Tampoco les consta “ningún tipo de utilización por parte de terceros de la información afectada por la brecha”.

El club blanco asegura que realiza “continuas búsquedas automáticas y manuales de información del Real Madrid a través de diferentes fuentes, como son las redes sociales, foros de la web y de la Deep web... para detectar posibles activos expuestos y en lo que se refiere a este incidente se ha utilizado búsquedas más específicas y no se ha encontrado evidencia alguna de que se haya utilizado la información comprometida por parte de terceros”.

Además, la Agencia Española de Protección de Datos señala que no le constan reclamaciones relativas a esta brecha, que por ejemplo hubieran hecho trabajadores del Real Madrid que pudieran haber visto datos suyos difundidos en Internet.

La agencia no multa al Real Madrid

La agencia analizó lo sucedido, así como las medidas de protección de la información y los datos con que el Real Madrid contaba antes de que se produjera el hackeo, así como su reacción.

A raíz de esta quiebra de seguridad, “categorizada como brecha de confidencialidad”, la Agencia Española de Protección de Datos revisó “la documentación aportada por la empresa en el curso de estas actuaciones de investigación, entre ella, RAT y AR de los dos tratamientos afectados, análisis sobre la necesidad de realizar Evaluaciones de Impacto, el documento sobre el entorno de trabajo corporativo en el cual se detallan medidas de seguridad aplicadas sobre los tratamientos afectados y la guía de Identificación y comunicación de incidentes de seguridad”.

Del análisis de todo ello “se desprende que con anterioridad a la brecha, la entidad investigada el Real Madrid] disponía de medidas de seguridad razonables en función de los posibles riesgos estimados”.

Por todo ello concluye que “la actuación de la investigada como entidad responsable del tratamiento, ha sido diligente y proporcional con la normativa sobre protección de datos personales analizada en los párrafos anteriores”, así que acuerda proceder al archivo de la investigación.

Eso sí, recomienda al Real Madrid que elabore un “informe final sobre la trazabilidad del suceso y su análisis valorativo, en particular, en cuanto al impacto final”. Subraya que “este informe es una valiosa fuente de información con la que debe alimentarse el análisis y la gestión de riesgos y servirá para prevenir la reiteración de una brecha de similares características como la analizada”.

Refuerzo de la seguridad

Valora también de forma positiva algunas medidas adoptadas por el club de fútbol. Los informáticos bloquearon las direcciones IP desde las que se produjo el acceso a su red, restauraron el servidor atacado y además adoptaron una serie de cambios detallados en el documento “Nuevas Medidas de Ciberseguridad”.

Entre otras medidas, el Real Madrid ha introducido un “doble factor de verificación” o autenticación para que entren sus empleados en sus equipos y redes. También ha implantado cambios en las normas de uso de los ordenadores portátiles de sus empleados.

“En consecuencia de lo anterior, consta que se disponía de las medidas técnicas y organizativas razonables para evitar este tipo de incidencia, no obstante y una vez detectada ésta, se produce una diligente reacción, al objeto de notificar a la AEPD e implementar medias para eliminarla”, resume la agencia, que archiva el procedimiento de investigación sin imponer ninguna sanción al Real Madrid.

El vídeo del día

Así se construye el avión supersónico silencioso X-59 de la NASA
Comentarios
Somos ECD
¿Quieres formar parte de ECD?