Los ciberdelincuentes atacan a los clubes de futbol

Corporate

Si estuvieras a punto de gastar más de un millón de dólares, ¿no te asegurarías de a donde envías el dinero?

Más importante aún, ¿cómo verificarías que la transacción se efectuó correctamente, sin sorpresas?

En esta clase de acuerdos millonarios es más que probable que se hayan enviado más de un email negociando el acuerdo, acordando los términos y finalizando el pago y, por lo tanto, es muy probable que se enviara un último correo electrónico antes de que la transacción sucediera.

Y si hubo un cambio de última hora en los detalles de pago, puede que se enviara también vía email, especialmente si el acuerdo era crítico, como la compra de una casa, una oferta de acciones o el pago de un millón de libras como parte de una transferencia de jugadores en la Premier League inglesa, la competición de fútbol que mueve más dinero del mundo y la franquicia deportiva más vista del planeta. (Probablemente, aunque los fanáticos de la NFL, NHL, MLB e IPL pueden estar en desacuerdo).

Según un informe titulado The Cyber Threat to Sports Organisations, publicado la semana pasada por el Centro Nacional de Ciberseguridad del Reino Unido, eso casi sucedió, excepto que el nuevo número de cuenta era fraudulento y, en lugar de salvar el acuerdo en el último minuto, el club podría haberlo perdido todo.

Aparentemente, uno de los mejores clubes de fútbol del Reino Unido, el informe no dice cuál, estuvo a punto de pagar un millón de libras (1,10 millón de euros) a ciberdelincuentes tras recibir un correo electrónico genuino pero fraudulento en el que pedía cambiar la cuenta donde se debía realizar el pago de los fondos.

Afortunadamente, el banco del club marcó la transacción como sospechosa, provocando una investigación y descubriendo la estafa.

Como probablemente sepas, esa estafa fue lo que se conoce como BEC, abreviatura de compromiso de correo electrónico comercial.

BEC es algo así como una categoría especial en el mundo del cibercrimen; de hecho, probablemente sea mejor referirse a él como “crimen habilitado para Internet” que simplemente como ciberdelito.

Los delincuentes detrás de esto no necesitan ningún tipo de conocimiento de software, seguridad o redes. Lo que sí tienen es paciencia, persistencia, autoconfianza y lo que podríamos llamar habilidades de nivel sociópata en ingeniería social.

La idea básica detrás del delito BEC es sorprendentemente simple: obtener la contraseña de correo electrónico de alguien importante en la organización, leer todo su correo electrónico, aprender cómo operan, averiguar qué hace la empresa y saber cuándo se realizan grandes pagos y luego asumir la personalidad del empleado cuyo correo electrónico se vio comprometido para desviar a otros empleados, así como a los acreedores y deudores.

Si un ciberdelincuente ha comprometido tu correo electrónico, recuerda que no solo puede enviar correos electrónicos en tu nombre, sino que también puede: eliminar esos correos de la bandeja de salida para que ni siquiera veas que se enviaron; interceptar y eliminar o modificar cualquier respuesta de colegas que sospechen y hagan preguntas; calmar a otros en la empresa que intentan dar la alarma; y amenazar a los que intentan interponerse en el camino.

Pero este no es el único caso de equipos de futbol que se han visto involucrados en ciberataques. En España el FC Barcelona ha visto como una serie de bots zombis lanzaron más de 20.000 impactos negativos en redes sociales contra el presidente Josep María Bartomeu y contra el propio club, con el objetivo de desprestigiar a la institución y a la directiva del club.

Leave a Reply

Your email address will not be published.