Justo antes de uno de los eventos deportivos más importantes de Europa este año, la UEFA Euro 2024 a celebrarse en Alemania del 14 de junio al 14 de julio, las amenazas cibernéticas para los aficionados al deporte van en aumento. Las amenazas cibernéticas en eventos importantes ya tienen una larga tradición y con la creciente digitalización de la infraestructura para la transmisión se vuelve aún más interesante para los ciberdelincuentes.
Incluso antes de comenzar el evento, los organizadores han tenido que advertir a los fanáticos que al intentar comprar entradas, podrÃan ser engañados por estafadores. En 2023, el director de competición de la UEFA, Martin Kallen, afirmó en una entrevista que durante la primera fase de ventas recibieron millones de solicitudes no válidas. Uno de los principales problemas que ven es que «tenemos el problema de que los robots informáticos ahora están trabajando para el mercado negro, están ingresando millones de dólares que estamos tratando de eliminar». Las estafas relacionadas con las entradas son un problema natural y se pueden encontrar consejos en casi todas partes, como en el Centro Europeo del Consumidor. Incluso la BSI está trabajando actualmente en un informe de seguridad para dar consejos sobre ciberseguridad.
El problema es que las ciberamenazas no sólo se dirigen a los aficionados para obtener dinero fácil y rápido, sino que también aprovechan estos eventos para todo tipo de ciberataques. En 2022, en el último gran evento futbolÃstico celebrado en Katar, Avanan, una empresa de Check Point, informó de una afluencia de correos electrónicos de phishing relacionados con la Copa del Mundo, desplegados en varios idiomas. Los temas de estos phishing han sido entradas gratis, enlaces de streaming o simplemente sorteos de premios.
Junto a la amenaza común de phishing se encuentra el DDoS. Estos ataques disruptivos contra las pantallas de los estadios, más el intento de secuestrarlas para difundir desinformación, agendas polÃticas o simplemente desacreditar a los organizadores, son una posible amenaza por lo que las empresas de servicios de TI, las estaciones de televisión por streaming y sus equipos de TI deben estar preparados. Que un evento deportivo sufra apagones no es una noticia en sà misma, ya que los Juegos OlÃmpicos de Invierno en Corea del Sur presenciaron un ataque de este tipo en 2018, denominado Destructor OlÃmpico. Aun asÃ, los ataques DDoS durante los partidos de fútbol no se han visto hasta el momento, aunque son un posible ángulo. Especialmente porque ese tipo de ataques podrÃan ser maniobras de distracción para literalmente tocar la puerta principal mientras fuerzan la puerta trasera. Esos ataques durante eventos de deportes electrónicos son cada vez más comunes, como lo muestra, nuevamente, una mirada a Corea del Sur. Uno de los eventos afectados recientemente fue la LCK, la llamada liga principal del juego en lÃnea League of Legends. En los partidos celebrados el pasado mes de febrero, los juegos fueron interrumpidos por ataques DDoS.
Con el aumento de herramientas de inteligencia artificial y deepfakes que son fáciles de construir e incluso más fáciles de hacer con estrellas del fútbol populares, celebridades y polÃticos. Las investigaciones muestran que existen más de 3000 repositorios relacionados con la tecnologÃa deepfake en plataformas abiertas como GitHub. Telegram alberga cientos de canales (entre 400 y 500) y grupos que ofrecen servicios de deepfake. Estos van desde bots automatizados que guÃan a los usuarios a través del proceso hasta servicios personalizados ofrecidos directamente por individuos. Los precios de estos servicios varÃan y comienzan en 2 dólares estadounidenses (1,84 euros) por vÃdeo y llegan hasta los 100 dólares estadounidenses (92,09 euros) para varios vÃdeos. Los precios de la clonación de voz empiezan en unos 10 dólares estadounidenses (9,21) al mes y pueden llegar hasta varios cientos de dólares estadounidenses. VarÃan en función de las funciones que ofrece, como voz a voz en tiempo real, menor latencia o acceso API por sólo 0,006 dólares (0,0055 euros) por segundo de voz generada.
Es probable que, dado el estado actual de la situación global del mundo, los atacantes estén apuntando a infraestructuras especialmente crÃticas. Al chantajear las pantallas del estadio, es posible que también ataquen los sistemas de semáforos para provocar atascos, desconfianza en la seguridad de los sistemas crÃticos y dañar la creencia común en la democracia misma. Además, los ataques a los sistemas energéticos para provocar apagones locales en las ciudades donde se llevarán a cabo los juegos son escenarios posibles.
Manuel RodrÃguez, Gerente de IngenierÃa de Seguridad para NOLA de Check Point Softwarte, entrega siete recomendaciones para organizaciones y sus empleados aficionados a los deportes que ayudarán a evitar que sean vÃctimas de los ciberdelincuentes:
1. Capacitaciones sobre concientización sobre seguridad para evitar multas o phishing y estafas similares, p. concursos de precios, ofertas especiales en el aspecto deportivo.
2. Incrementar las medidas de protección cibernética contra la desinformación y los deepfakes, las falsificaciones de voz y otras técnicas de ingenierÃa social que quieren manipular al público, quieren utilizar la atención para transmitir su agenda polÃtica o engañar a los consumidores para que participen en sus campañas de amenazas.
3. Medidas de prevención de amenazas para bloquear ataques a infraestructuras crÃticas también a través de terceros, como proveedores de TI, como se ha visto en otros eventos deportivos, para hacerse cargo de los servicios de TI mientras los administradores miran los juegos, mientras se descuidan los parches y actualizaciones, etc.
4. Preparación para DDoS, especialmente para sitios de noticias gubernamentales y relacionados con deportes, ya que podrÃan verse amenazados durante los juegos y después ser vÃctimas de ataques DDoS.
5. Zero Trust para evitar movimientos laterales tras infiltraciones exitosas, que se han producido a través de correos electrónicos de phishing.
6. Preparación para responder a incidentes para asegurarse de estar preparado una vez que se produzca una infracción exitosa para mantener los sistemas en funcionamiento.
7. Medidas de respaldo y recuperación ante desastres para disminuir significativamente el tiempo de inactividad.