Una brecha de seguridad en los sistemas informáticos del Real Madrid dejó al descubierto información sensible del club blanco, desde contratos de jugadores de la plantilla hasta informes sobre el seguimiento a otros profesionales, pasando por documentos de Excel con presupuestos de la entidad.
El primer indicio del ataque se conoció el 9 de septiembre de 2020. Se identificó el acceso a la red del Real Madrid “desde una dirección IP desde la que no se suele acceder a dicho equipo”. Ante esta alerta se detectaron “dos accesos llevados a cabo mediante la cuenta de un usuario de la organización en periodo vacacional por lo que resultan sospechosos y se comprueba que están relacionados con un acceso posterior al servidor, donde se localiza información de carácter aparentemente sensible relativa a presupuestos, información personal e información privada de la entidad”.
También se comprobó que se habían generado diferentes archivos comprimidos con los documentos mencionados, así como que se habían usado “diferentes servicios y aplicaciones relacionados con el envío e intercambio de documentos durante el rango temporal en el que el usuario sospechoso se mantiene en el equipo”.
El club comunicó lo sucedido a la Agencia Española de Protección de Datos y también a la Policía Nacional. En la resolución de la agencia se indica que “el Real Madrid manifiesta que las averiguaciones de los proveedores de ciberseguridad y sistemas han sido infructuosas y que actualmente existe una investigación policial en curso, abierta a raíz de la denuncia interpuesta ante la Policía”.
En la resolución de Protección de Datos se indica que “los tratamientos de datos afectados por la incidencia” son relativos a dos ámbitos que define como “FUTBOL – Gestión Administrativa, Relación contractual y seguimiento de jugadores” y “RRHH – Gestión de relación laboral”. Básicamente datos identificativos y económicos.
Además, el Real Madrid comunicó que las personas afectadas por el robo de información son “personal de la entidad incluido jugadores y técnicos”, que cifra en unas 1.000 personas. Se trató por tanto de una fuga de información importante, que habría afectado a algunos futbolistas de la plantilla madridista.
No ha habido sanción por parte de la Agencia
La agencia analizó lo sucedido, así como las medidas de protección de la información y los datos con que el Real Madrid contaba antes de que se produjera el hackeo, así como su reacción.
Del análisis de todo ello “se desprende que con anterioridad a la brecha, la entidad investigada disponía de medidas de seguridad razonables en función de los posibles riesgos estimados”.
Por todo ello concluye que “la actuación de la investigada como entidad responsable del tratamiento, ha sido diligente y proporcional con la normativa sobre protección de datos personales analizada en los párrafos anteriores”, así que acuerda proceder al archivo de la investigación.