Una final de champions con decenas de miles de espectadores en el estadio y millones siguiendo la transmisión; un concierto multitudinario con sistemas electrónicos gestionando accesos; incluso un partido de fútbol local con toda la operación de ticketing y datos de abonados. Detrás de la euforia deportiva y musical, los eventos masivos enfrentan riesgos de ciberseguridad muy reales.
Este post será un post en “tercera persona analítica”, donde exploraremos casos sonados de ciberataques en eventos deportivos y extraeremos lo que nosotros vemos como lecciones valiosas que queremos compartir con vosotros.
Veremos cómo los ciberdelincuentes juegan su propio partido atacando infraestructuras, robando datos de fans, saboteando retransmisiones o extorsionando con entradas robadas. Cada incidente nos deja aprendizajes aplicables no solo a futuros eventos deportivos, sino también a sectores como retail o entretenimiento que comparten la necesidad de proteger operaciones críticas bajo los focos mediáticos.
Empecemos por la Super Bowl, que es quizá el evento deportivo anual más mediático en Estados Unidos, y uno de los más importantes del mundo, lo que le ha convertido también en un “superobjetivo” para los ciberdelincuentes. A medida que se acerca el partido, no solo sube la emoción… también los intentos de estafa y sabotaje digital.
Días o semanas antes, empiezan a circular webs falsas, correos que prometen entradas exclusivas o merchandising oficial, e incluso emails que se hacen pasar por la organización para robar datos. Ya ha pasado: en 2023, unos correos suplantaron al comité del evento para engañar a proveedores. La gente se confía por la emoción del momento, y ahí es donde atacan.
Pero los ciberataques no solo van a por los fans. En 2024, una empresa encargada del espectáculo en el estadio sufrió un ataque que dejó expuestos datos personales de más de 5.000 personas. No se metieron con la NFL directamente, atacaron a un socio. Eso bastó. Desde entonces, se hacen simulacros con decenas de empresas, cuerpos de seguridad y partners para prepararse ante ataques: phishing masivo, ransomware, fugas de datos o incluso amenazas internas.
Y sí, el ransomware también ha estado presente. En 2021, los San Francisco 49ers fueron atacados justo el fin de semana del partido. Aunque no jugaban, el momento fue demasiado tentador para los atacantes. Algo parecido ocurrió en los Juegos Olímpicos de invierno de 2018: se coló un malware durante la ceremonia de apertura y colapsó las redes. Desde entonces, muchas organizaciones deportivas tienen planes B: comunicaciones fuera de la red principal, torniquetes manuales o equipos listos para reaccionar si algo falla.
Tampoco se salvan los fans. En 2023, un proveedor externo de la NBA fue víctima de un ciberataque y se robaron datos de seguidores suscritos a boletines. La propia NBA tuvo que avisar a todos por riesgo de phishing. Aunque sus sistemas no fueron tocados, el susto fue real. Moraleja: cualquier pieza de la cadena puede ser la puerta de entrada.
Volviendo a España, el caso más reciente lo protagonizó el Deportivo de La Coruña, que hace unos días fue víctima de un ciberataque que comprometió la base de datos de sus abonados. El propio club ha confirmado que el 16 de mayo detectaron una intrusión en uno de sus servidores en la nube, lo que les obligó a actuar con rapidez. Los atacantes lograron acceder a datos personales de miles de socios: nombre, apellidos, DNI, dirección, email, teléfono… En definitiva, todo lo necesario para lanzar campañas de phishing dirigidas o incluso intentos de fraude más elaborados. Afortunadamente, el club aseguró que no se accedió a datos financieros ni contraseñas.
Tras contener el ataque, el Deportivo siguió los pasos correctos: notificó el incidente a la policía y a la Agencia Española de Protección de Datos, y envió un correo a todos sus abonados alertando de lo sucedido y pidiéndoles máxima precaución ante posibles llamadas, correos o mensajes sospechosos. Esto es clave. Porque con un simple nombre y teléfono, un estafador puede fingir ser del club y pedir una “verificación de datos” para renovar el abono o actualizar la tarjeta de pago. El club anticipó bien ese riesgo y lo comunicó de forma clara y transparente, lo cual es una gran lección en gestión de crisis: no se trata solo de contener el daño técnico, sino de evitar que el incidente tenga una segunda vida a través de la ingeniería social.
No se conocen los detalles técnicos exactos, pero al hablar de una intrusión en la nube se puede sospechar desde credenciales robadas a un acceso indebido a través de alguna API mal protegida. Lo cierto es que, como en tantos otros casos, el ataque no dependía del tamaño del club, sino de su exposición digital. Hoy en día, cualquiera puede ser interés para que alguien quiera robar tu base de datos y venderla en foros. Los datos de aficionados tienen valor: sirven para campañas de spam, estafas o incluso extorsión.
Este caso recuerda a otro ocurrido no hace tanto. En octubre de 2023, la Real Sociedad también sufrió un ciberataque, mucho más grave en cuanto al tipo de datos comprometidos. En ese caso, se filtraron no solo datos personales, sino también cuentas bancarias de socios y accionistas. El ataque fue atribuido al grupo de ransomware LockBit, que no solo robó la información sino que también la cifró, exigiendo un rescate. La Real tuvo que pedir a los afectados que vigilaran sus cuentas bancarias y se mantuvieran en alerta.
La comparación es clara: Deportivo y Real Sociedad fueron objetivos de amenazas distintas, pero igual de reales, y ambos tuvieron que activar mecanismos de respuesta. Esto deja una conclusión inevitable: los clubes de fútbol, grandes o pequeños, son hoy custodios de datos sensibles, y tienen la misma responsabilidad que cualquier empresa en cuanto a protección, comunicación y cumplimiento normativo.
La champions league y la Tercera División comparten algo más que el fútbol: los ciberataques no entienden de escudos. Y cada incidente, por pequeño que parezca, nos recuerda que la ciberseguridad es un partido que todos los actores del deporte profesional (ligas, clubes, patrocinadores y proveedores) están obligados a jugar.
Al final, la conclusión está clara: la ciberseguridad ya forma parte del juego. Por cada gran final, hay un equipo detrás asegurándose de que nada explote en el mundo digital. Y la clave no es esperar a que pase algo, sino ensayar antes y tapar huecos. Como quien entrena una jugada clave antes del gran día.
Lo que pasó con el Deportivo y la Real Sociedad no son excepciones: son señales claras de que el deporte, al igual que cualquier otro sector, necesita tomarse la ciberseguridad en serio. Ya no se trata solo de proteger un servidor o tapar un fallo puntual, sino de cambiar el enfoque completo con el que se gestiona la tecnología en organizaciones que, además de mover pasiones, manejan datos personales, dinero y reputación en tiempo real.
Las lecciones son claras: proteger la información sensible como si fuera oro (porque lo es), tener un plan de respuesta listo para cuando algo falle, y sobre todo avisar rápido y con claridad a los afectados. Algo tan simple como un correo bien escrito, enviado a tiempo, puede evitar que cientos de personas caigan en una estafa tras una filtración.
También es fundamental entrenar el “modo crisis” con antelación. ¿Qué pasa si el día de un partido fallan los torniquetes o se caen los sistemas de cobro? ¿Y si se hackea la pantalla gigante o el marcador? Como en cualquier evento, la improvisación en caliente suele salir cara. Por eso, muchos equipos y ligas han empezado a ensayar estos escenarios como si fueran parte de la pretemporada.
Y esto no solo va con el deporte. Cualquiera que organice un concierto, un festival, un Black Friday o una campaña de e-commerce masiva puede aprender de estos casos. Porque, al final, las amenazas son las mismas y las expectativas del público también: que todo funcione, que sus datos estén seguros y que nadie les engañe con un correo falso o una entrada trucha.
La gran conclusión que todos vosotros sabéis es que la ciberseguridad ya no es una cosa de técnicos en una sala aislada. Es parte del espectáculo. Si se hace bien, pasa desapercibida. Pero si falla, puede eclipsarlo todo. Por eso, toca asumir que jugar a la ofensiva en seguridad prevenir, simular, educar es tan importante como el talento en el campo, en el escenario o detrás de una tienda online.
Y si no, que se lo digan a quienes pensaron que el Deportivo no era “un objetivo interesante”… hasta que alguien se llevó la base de datos de sus abonados con un solo clic.
