El individuo con formación en informática explotó una vulnerabilidad del sistema digital del club para alterar su posición en la lista de espera de abonos.
El Real Betis de España, dirigido por el técnico chileno Manuel Pellegrini, fue víctima en los últimos días de ciberataque perpetrado por un hincha del propio club, quien aprovechó una vulnerabilidad en su sistema digital de socios para conseguir un asiento en el estadio.
La Policía Nacional de España detuvo al individuo especializado en informática que, valiéndose de sus conocimientos técnicos, accedió sin autorización a la plataforma “Soy Bético” para manipular su posición en la lista de espera de abonos del estadio Benito Villamarín. En el proceso, el hincha verdiblanco alteró datos de 10.911 socios y comprometió la integridad del sistema.
El incidente ocurrió en julio de año pasado, cuando el atacante aprovechó una vulnerabilidad en la API del club para acceder a información sin consentimiento. Su objetivo era modificar la media ponderada de los solicitantes y mejorar su lugar en la lista de espera, incluso eliminando a otros socios del proceso de asignación de abonos.
La investigación comenzó tras la denuncia de un socio que detectó irregularidades en su inscripción en el proceso de cambio de asiento. Un análisis forense digital permitió identificar la brecha de seguridad y localizar al responsable. La intervención del sistema de ciberseguridad del Betis logró detectar el ataque y, tras corregir la vulnerabilidad, la entidad denunció los hechos ante la Policía y la Agencia de Protección de Datos.
El detenido enfrenta cargos por acceso no autorizado a sistemas informáticos, manipulación de datos y suplantación de identidad. Según el Código Penal, estos delitos pueden acarrear penas de prisión y elevadas multas.
De acuerdo con medios españoles, el hacker accedió a la parte interna del sistema de socios del Real Betis, lo que le permitió modificar parámetros a su favor. Además de recopilar datos de identificación de los socios, suplantó la identidad de uno de ellos para inscribirlo en el proceso de cambio de asiento, lo que le permitió manipular la base de datos oficial del club y así obtener una mejor posición en la lista de espera.
Tras el incidente, el Real Betis implementó varias medidas de mitigación para evitar futuros ataques, como la mejora en la seguridad de la API para prevenir accesos no autorizados, el monitoreo continuo de actividad sospechosa en la plataforma de socios, la implementación de doble factor de autenticación y auditorías de seguridad periódicas para detectar y corregir vulnerabilidades.
A pesar de la gravedad del ataque, el club aseguró que no hubo modificaciones en los datos de socios ajenos al atacante e informó que los socios afectados fueron notificados.