La Agencia Española de Protección de Datos (AEPD) ha impuesto a la Real Sociedad una sanción de 110.000 euros por el ciberataque sufrido en octubre de 2023, que comprometió datos personales y de categoría sensible de unas 60.000 personas, entre abonados, empleados, jugadores y técnicos. El ataque, detectado el 16 de octubre, encriptó todos los servidores virtuales del club con la extensión “.akira”. Tras reconocer su responsabilidad y acogerse a la reducción por pronto pago, la entidad abonó 66.000 euros, aunque deberá acreditar en un plazo de tres meses que ha implementado medidas de seguridad adecuadas al riesgo.
El incidente se detectó cuando los sistemas informáticos quedaron bloqueados por un software malicioso que inutilizó los servidores y afectó a copias de seguridad. La información comprometida incluía desde nombres, direcciones y números de identificación hasta datos financieros, médicos o relativos a la salud de los empleados, así como documentación sensible utilizada en la gestión diaria del club. Pese a que no se hallaron pruebas de que los datos fueran publicados o vendidos, la AEPD destacó la gravedad de la brecha y la ausencia de medidas como la segmentación de red o el cifrado.
El ataque tuvo un alcance significativo por la variedad y sensibilidad de la información afectada. Se vieron implicados ficheros vinculados a la actividad deportiva, como historiales médicos y físicos de jugadores, certificados oficiales, datos laborales, números de la Seguridad Social, información patrimonial y registros de eventos y campus. La resolución de la AEPD subraya que estos datos no estaban cifrados, lo que incrementó el riesgo y evidenció la necesidad de reforzar la protección. Además, el volumen de personas afectadas y la importancia estratégica de la información tratada se consideraron circunstancias agravantes en el expediente sancionador.
En este contexto, el club anunció recientemente un acuerdo con NordVPN, que se convierte en nuevo socio oficial de ciberseguridad para la temporada 2025/2026. La colaboración busca fortalecer las defensas tecnológicas y prevenir incidentes similares, aunque la Real Sociedad deberá igualmente acreditar ante la AEPD, en un plazo máximo de tres meses, que ha implantado medidas de seguridad acordes al riesgo que afronta en el manejo de datos personales.
Fuente: mundodeportivo.com