El club de los Países Bajos reconoció un acceso no autorizado a sus sistemas que comprometió información de hinchas el cual permitía la reventa fraudulenta de tickets así como el acceso a información y la posibilidad de modificar de datos de personas con prohibiciones de acceso al estadio.
El AFC Ajax de los Países Bajes confirmó recientemente una brecha de seguridad que afectó a datos de sus aficionados y que, además, permitió a atacantes interferir con el sistema de entradas digitales, facilitando potencialmente el secuestro y reventa de tickets.
El incidente salió a la luz tras el aviso de un hacker, quien detectó vulnerabilidades en la plataforma del club y dio aviso a un periodista del medio RTL. El fallo habría permitido el acceso a información personal de seguidores, incluyendo nombres, direcciones de correo electrónico y otros datos vinculados a cuentas de usuario. A partir de ese acceso, los atacantes habrían podido manipular entradas digitales, redirigiéndolas o apropiándose de ellas.
Un registro del RTL muestra cómo era posible robar un abono para la presente temporada. Para ello, el periodista Daniël Verlaan realizó una prueba en la que transfirió la entrada del sector VIP perteneciente al Director de Abonos del Ajax, Menno Geelen, a su cuenta.
Además, la falla permitía acceder a la lista de aficionados del club sancionados con prohibición de entrada al estadio, lo que se trata de información altamente sensible en tanto los datos podrían ser expuestos y perjudicar a los aficionados involucrados o afectar a terceros.
Desde el club reconocieron la situación en un comunicado oficial, señalando que “se detectó un acceso no autorizado a un entorno digital”, y que, tras la alerta, se tomaron medidas para cerrar la vulnerabilidad. Asimismo, indicaron que “no hay evidencia de que se hayan comprometido datos financieros”, aunque confirmaron que información de contacto sí pudo verse afectada.
Uno de los aspectos más delicados del incidente fue su impacto en el sistema de tickets. Investigaciones apuntan a que los atacantes lograron explotar la brecha para intervenir en la asignación de entradas, lo que habría permitido su desvío hacia terceros o su reventa en mercados no autorizados. Este tipo de práctica no solo afecta económicamente a los aficionados, sino que también puede generar problemas de acceso a los estadios.
En paralelo, surgieron cuestionamientos sobre la gestión del incidente. Algunos reportes indican que el club habría tardado en comunicar la brecha tras ser notificado, lo que generó críticas respecto a la transparencia y los tiempos de respuesta. Esta situación es especialmente sensible en Europa, donde la normativa de protección de datos exige reportes oportunos ante posibles filtraciones.
“El problema fue identificado tras una notificación externa”, destacan análisis del caso, subrayando el rol clave de la comunidad de seguridad en la detección de vulnerabilidades. Este punto refuerza la importancia de los programas de divulgación responsable y de mantener canales abiertos con investigadores independientes.
Además, el incidente habría tenido consecuencias directas para algunos aficionados, incluyendo bloqueos o restricciones en cuentas sospechosas de actividad irregular, lo que añade una capa adicional de impacto para los usuarios afectados.
La relevancia del incidente radica en que los clubes en diferentes partes del mundo no solo administran información personal, sino también activos digitales con valor económico inmediato, lo que los convierte en objetivos atractivos para cibercriminales. El Eredivisie, la liga de los Países Bajos, no es ajeno a este fenómeno, ya que equipos de alto perfil manejan grandes volúmenes de datos y transacciones digitales.
Por ahora, Ajax asegura haber reforzado sus sistemas y continúa investigando el alcance total del incidente.