Detenido un socio del Betis que atacó la web del club para obtener un asiento de abonado

La Policía Nacional ha detenido en Sevilla a un ciberdelincuente que atacó los sistemas informáticos del Real Betis Baliompié. Según ha informado este miércoles la Policía Nacional en una nota de prensa, el hackeo se produjo en julio del año pasado, si bien no llegó a filtrarse información ni tampoco se vendieron datos a terceros. El club presentó una denuncia ante la Policía, que tras una larga investigación, ha dado con el autor de la intrusión.

Se trata de un pirata informático que tenía elevados conocimientos en esta materia. Es graduado en informático y trabaja como probador de software (o tester, como se denomina en el argot) para una empresa. El Betis tuvo conocimiento del ataque a raíz de la queja de uno de los socios del club, que manifestó que, sin su consentimiento, le habían inscrito en el proceso de cambio de asiento dentro del estadio Benito Villamarín.

La Policía inició una investigación tras la denuncia del Betis. Los agentes encargados del caso pudieron comprobar que alguien había accedido al servidor en el que se alojan las bases de datos de los socios. El hacker había modificado los datos para su propio beneficio. Esta línea de investigación llegó a determinar con exactitud la brecha de seguridad y la autoría del ataque.

El modus operandi seguido por el delicuente era el siguiente. Atendiendo a la configuración informática de la plataforma, accedía a la llamada parte trasera de la página oficial de los socios del Real Betis Balompié, y con ello a sus bases de datos. Aprovechaba una brecha de seguridad que tenía el servidor y modificaba los parámetros de los socios a su antojo. El objetivo que buscaba, o el propósito del ataque, no era otro que el hecho de poder avanzar en la cola de espera a la hora de asignársele un asiento de abonado.

La Policía deja claro que no hubo ni filtraciones ni venta de datos a terceros. La manipulación informática pudo haber afectado a un total de 10.911 socios.

Fuentes del Betis han informado por su parte que un socio Soy Bético, desde su área privada de socio y gracias a sus conocimientos avanzados, obtuvo mediante un servicio web (API) los datos de identificación de 10.911 socios. Con esto, suplantó la identidad de uno de ellos desde su área privada para crear una agrupación con esta persona con el objetivo de bajar su media ponderada y así mejorar su posición en la lista de espera para obtener su abono con asiento. También eliminó a otros socios inscritos en este proceso mediante API. Explican que el sistema de ciberseguridad del Real Betis detectó este ataque, corrigió de inmediato la vulnerabilidad y lo denunció ante Policía y la Agencia de Protección de Datos siguiendo los protocolos establecidos. La propia Agencia de Protección de Datos notificó que el sistema de protección contra este tipo de ataques alertó de este hecho de manera rápida y eficaz. Como aclaración, no se produjo acceso total a la base de datos ni al servidor, sino a los datos de identificación del área privada de estos socios. Por eso, como medida preventiva, el Real Betis asegura también que actualizó algunos de estos datos de identificación de las áreas privadas para que los datos robados no tuvieran validez. Asimismo, desde el Real Betis quieren subrayar que esta persona no realizó la modificación de datos de ningún otro socio y que el club ha potenciado más si cabe su sistema de ciberseguridad para evitar ataques de esta o cualquier otra índole.