Vista general del Benito Villamarín. Sevilla
Un hincha del Betis hackeó a su club para conseguir un asiento en el estadio: pudo afectar a 11.000 socios
Su objetivo era avanzar en la cola de espera. No usó la información para filtraciones ni para venderla a terceros.
Más información: Luz verde del Ayuntamiento para que Betis y Sevilla puedan cambiar lo usos de hasta el 30% de sus parcelas
Un ciberdelincuente manipuló los servicios informáticos del Real Betis Balmpie en julio del año pasado para conseguir un asiento en el Benito Villamarín. Accedió a una base de datos en la que estaba la información de 10.911 socios, según informan fuentes policiales.
Su objetivo era personal, indican las mismas fuentes. Solo pretendía avanzar en la cola de espera para obtener una plaza de abonado en el estadio. No obstante, no usó los datos para filtraciones ni para venderlos a terceros.
La Policía Nacional ha detenido en Sevilla a este ciberdelincuente, al que se le acusa de atacar los servicios informáticos del Real Betis Balompié.
Tenía, según indica la Policía Nacional, elevados conocimientos en la materia. Es Graduado en Informática y trabajaba como téster de software para una empresa.
La investigación comenzó a raíz de la denuncia del propio Betis en julio de 2024. El club tuvo conocimiento del ataque informático por las quejas de uno de los socios, aunque el propio sistema también detectó la vulnerabilidad.
Alertó de que le habían inscrito, sin su consentimiento, en el proceso para cambiar de asiento en el Benito Villamarín.
Por la "parte trasera"
La Policía Nacional certificó las sospechas con el avance de la investigación. Descubrió que había accedido a un servidor que aloja las bases de datos de los socios. En ella había datos de casi 11.000 abonados.
El arrestado había modificado algunos de ellos en beneficio propio. Así, empezaron a determinar con exactitud la brecha de seguridad, lo que les permitió identificar la autoría del ataque.
Lo hacía accediendo a la "parte trasera" de la página oficial de los socios del Real Betis. A raíz de ahí se introducía en la base de datos. Descubrió de este modo una brecha de seguridad en el servidor con la que modificaba los parámetros de los socios en beneficio propio.
Solicitó una agrupación con otro socio
Según ha podido saber EL ESPAÑOL, el detenido ya era socio en la modalidad 'Soy Bético'. No tenía derecho a asiento en el estadio Benito Villamarín. Esto es justo lo que quería conseguir.
Obtuvo mediante un servicio web (API) los datos de identificación de 10.911 socios. Eso le permitió suplantar la identidad de uno de ellos desde su área privada en la página web.
Se agrupó con esta persona con el objetivo de bajar su media ponderada en la solicitud y mejorar su posición a la hora de obtener un abono con asiento. De hecho, le cambió el correo electrónico para que no le llegase ninguna notificación. Pese a ello, el afectado se percató y presentó una queja al club.
Igualmente, el detenido también eliminó a otros socios inscritos en el proceso para beneficiar su propósito.
Indican desde el Betis, que el sistema de ciberseguridad del club detectó el ataque inmediatamente y corrigió la vulnerabilidad. Luego presentó una denuncia ante Policía Nacional y la Agencia de Protección de Datos. Esta última instancia notificó que el sistema actuó "de manera rápida y eficaz" ante la intromisión ajena.
Fuentes del club aclaran que el ciberdelincuente accedió únicamente a los datos de estos 10.911 socios. Como medida preventiva, el club ya actualizado sus datos de identificación en las áreas privadas, tales como la ID y el PIN de abonado, para que no tuvieran validez.
