El deporte, ante el reto de evitar un nuevo ‘Football Leaks’

Cuánto cobra un futbolista, cláusulas extrañas sobre derechos especiales de estrellas del balón o las claves sobre los bonus que pagará un patrocinador a un club. Son algunos de los datos que salieron a la luz mediante la masiva filtración de documentos conocida como Football Leaks, que destapó 18,6 millones de documentos privados y evidenció la fragilidad de las estructuras de ciberseguridad en la industria del deporte. “La amenaza existe y tienen que cerrar esta vulnerabilidad”, advierte Álvaro Écija, socio director de Ecix Group.

El abogado, experto en ciberseguridad, considera que no hay excesivas particularidades en el mundo del deporte, puesto que “no es una industria crítica como la energía, pero el impacto reputacional es mucho mayor”. De ahí que recuerde que, si bien ahora el foco está en asegurar la información, “el problema para el jugador es proteger los derechos ante un robo de identidad o extorsión”. “Robar información atacando a un servidor es un delito territorial, pero publicarla no está claro que sea un delito. Son actos jurídicos distintos y el segundo es el que tiene trascendencia y se escapa el control”, añade.

Es una cuestión que muchos han bautizado como el ciberlimbo o vacío legal, por el que resulta muy difícil perseguir el robo de los datos y es complejo de argumentar jurídicamente que sea un delito la publicación de noticias en base a esos documentos. Es decir, que el problema es doble para el club: detectar dónde se ha producido la brecha de seguridad y protegerse después ante el uso que se hace de esa información.

Los principales clubes de LaLiga ya han empezado a crear sus propios equipos de ciberseguridad y firmar con consultoras para crear sus barreras de protección. El volumen de la inversión se desconoce, aunque un estudio de Pwc señala la inversión de las empresas españolas en ciberseguridad ha pasado de 3,1 millones a 3,9 millones de euros entre 2012 y 2016. No es una cuestión baladí, pues el negocio de la industria del deporte como entretenimiento está muy ligada al entorno digital y sus bases de datos son cada vez mayores, ya sea por abonados a cadenas de gimnasios o socios y fans de un club deportivo. En otras palabras, la información personal de millones de personas.

El deporte no es una industria crítica como la energía, pero su exposición mediática provoca que las filtraciones generen un mayor daño reputacional

“Debe tener una buena gestión de compliance para minimizar impactos y riesgos. Esa es la otra línea de defensa que necesita un club de fútbol”, añade Écija. Esta es una figura que la legislación obliga a todas las organizaciones a tener, y LaLiga ha insistido mucho a sus equipos asociados sobre la necesidad de crear esta posición para profundizar en el buen gobierno de un sector que durante muchos años estuvo bajo el foco.

Este es uno de los nuevos puntos del Reglamento General de Protección de Datos (RGPD) aprobado por la Comisión Europea y que entrará en vigor a finales de mayo. Entre las nuevas medidas, se establece que las organizaciones tengan un proceso de evaluación periódica de la eficacia de las medidas técnicas y organizativas que garanticen la seguridad del proceso, así como un sistema que monitorice y permita controlar la protección de los datos de usuarios y clientes. Según Pwc, para prevenir este tipo de cuestiones, la mayoría de empresas optan por medidas como la autentificación, prevención de pérdida de datos, gestión de identidad y accesos y monitorización en tiempo real, entre otros.

El director general de Sophos en la Península ibérica, Ricardo Maté, señala que hay necesidades específicas que se verán muy afectadas por estas medidas regulatorias, como la información relacionada con los menores del club. “La mayoría de entidades deportivas cuentan con equipos juveniles e infantiles, es decir, que manejan información de niños que deberá estar sometida al mayor nivel de confidencialidad”, apunta.

A nivel de plantilla, Écija señala que “es ahora que los clubes están creando equipos de ciberseguridad y se está fichando a hackers, pero no tienen muy claro cuál es el coste de la inversión. No sólo hay que proteger las máquinas, sino las personas que están detrás de ellas”, apunta el abogado, que defiende la necesidad de una mayor regulación supranacional.

En España, las empresas destinan una media de 3,9 millones de euros a acciones destinadas a crear su sistema de ciberseguridad

En este sentido, la firma de servicios profesionales EY apunta en su decálogo sobre esta temática que las organizaciones deberían “elaborar planes específicos de formación y entrenamiento para cada tipo de perfil de la compañía y fortalecer así los programas de concienciación además de complementar los canales de divulgación en materia de ciberseguridad. Concretamente, el desarrollo y ejecución de ciberejercicios de respuesta ante este tipo de incidentes para evaluar y mejorar las capacidades reactivas de toda la organización”.

Maté comenta que “hay que protegerse frente a cualquier malware que pueda tomar control de estos sistemas, y hay herramientas para protegerse frente a estas posibles brechas de seguridad”. “Los datos sensibles para el negocio de cada empresa debería de estar cifrados, ya que es la mejor manera de protegerse y ante un robo no sirven para nada al posible ciberdelincuente”, ejemplifica.

No es ningún tipo de lujo para las grandes empresas, ya que en opinión de Sophos, que trabaja con el RCD Espanyol, las pymes también están empezando a contratar este tipo de servicios “porque están sufriendo más ataques y porque cada vez son más mediáticos, como el ransomware WannaCry, por ejemplo, que tuvieron mucha difusión y han hecho que las pequeñas empresas tomen más concienciación”.