Un hacker ético ha tenido acceso a toda la infraestructura online de la FIFA de forma sencilla. Se trata de un investigador de seguridad que se hace llamar BobDaHacker y ha hablado de sus hallazgos en una publicación en su web con fecha de 16 de junio. Aunque no menciona exactamente la fecha en la que pudo entrar en los sistemas, sí que ha ocurrido durante los primeros días del Mundial.
Pudo entrar con una cuenta falsa, la cual creó fácilmente. Sus intenciones no eran malas, sino simplemente quería avisar a la FIFA para que solucionaran el problema. Si hubiera sido un ciberdelincuente el que hubiera tenido acceso, podría haber bloqueado las retransmisiones del torneo o incluso reemplazarlas con cualquier contenido que hubiera querido.
Fallo de seguridad en la FIFA
Según explica BobDaHacker, todo el proceso fue bastante rápido. Descubrió esta vulnerabilidad por la noche y rápidamente hizo llamadas a las oficinas de la FIFA, que están en Zúrich, aunque indica que estaban cerradas al ser domingo. En cualquier caso, envió avisos al máximo organismo del fútbol internacional y al día siguiente el problema quedó solucionado.
Aunque no menciona una fecha exacta, según los datos que indica en el artículo, así como las imágenes capturadas que muestra, ese hallazgo pudo ocurrir el pasado domingo 14 de junio. Al día siguiente, el 15 de junio, la FIFA corrigió el problema, de ahí que pudiera publicarlo sin riesgos un día después, el 16 de junio, en su página web.
En la publicación indica que el fallo se debía a un error de autorización. Los sistemas de FIFA comprobaban los permisos en la aplicación web, pero los servidores no verificaban adecuadamente si el usuario realmente tenía o no permisos para acceder a esos recursos solicitados.
A nivel de acceso e información, el hacker pudo ver todo esto:
- Documentación interna de la FIFA.
- Acceder a aplicaciones de gestión relacionadas con la organización.
- Consultar información técnica sobre los sistemas y entornos internos.
Además, también pudo comprometer la retransmisión de partidos y tomar el control, ya que podría haber hecho todo esto:
- Modificar la retransmisión de los vídeos.
- Interrumpir la emisión de partidos.
- Interferir en los sistemas de producción audiovisual.
- Modificar la información que aparece en los partidos.
Podemos decir que este hacker ético ha tenido en sus manos la posibilidad de cambiar lo que millones de personas veían en sus televisiones en directo. El problema ha podido ser muy grave, en caso de que alguien con malas intenciones hubiera tenido acceso.
Hay que mencionar que desde la FIFA no han emitido ningún comentario hasta el momento de escribir este artículo.
Alcance del acceso no autorizado
| Tipo de Acceso | Información/Sistema Comprometido | Riesgo Potencial |
|---|---|---|
| Información | Documentación interna de la FIFA | Fuga de datos confidenciales sobre organización, contratos o estrategias. |
| Información | Aplicaciones de gestión relacionadas con la organización | Manipulación de procesos internos o acceso a datos de empleados/colaboradores. |
| Información | Información técnica sobre sistemas y entornos internos | Facilitar futuros ataques más sofisticados al conocer la infraestructura. |
| Control Operacional | Panel de gestión de retransmisiones de partidos | Modificar, interrumpir o reemplazar la señal de vídeo en directo para millones de espectadores. |
| Control Operacional | Sistemas de producción audiovisual | Interferir en las señales de cámara, gráficos o datos que se muestran en las retransmisiones. |
Problema común
Según recoge el medio especializado Dark Reading, que han podido ponerse en contacto con BobDaHacker, este hacker ético asegura que es un problema que ve constantemente. Indica que “la autorización del lado del cliente sin control del lado del servidor es uno de los patrones más comunes que encuentro en mi trabajo. A las grandes empresas les encanta crear una interfaz atractiva con Angular o React que verifica los roles y muestra una página de ‘acceso denegado’, y luego el backend simplemente sirve todo a cualquier usuario autenticado”.
BobDaHacker también ha indicado que “el hecho de que la FIFA no tenga un archivo security.txt, ni una política de divulgación de vulnerabilidades (VDP, por sus siglas en inglés), ni un programa de recompensas por errores, ni ninguna forma de que un investigador se ponga en contacto con ellos habla por sí solo”, en referencia a que no fue sencillo poder hacerles llegar el problema.
En definitiva, un hacker ético ha demostrado una grave vulnerabilidad de la FIFA que ha podido suponer un problema importante durante el Mundial, en caso de que un ciberdelincuente hubiera podido acceder.
Vulnerabilidad en los sistemas de la FIFA durante el Mundial
¿Quién descubrió el fallo de seguridad en los sistemas de la FIFA?
El descubrimiento fue realizado por un hacker ético e investigador de seguridad conocido como BobDaHacker, quien reportó el incidente tras acceder a la infraestructura online del organismo.
¿Qué riesgos reales supuso esta vulnerabilidad para el Mundial?
Un atacante con malas intenciones podría haber bloqueado o modificado las retransmisiones de los partidos en directo, interrumpido la emisión y accedido a documentación técnica y de gestión interna de la FIFA.
¿Cómo logró el hacker entrar en la red de la FIFA?
El investigador pudo acceder creando simplemente una cuenta falsa debido a un fallo en el proceso de autorización. El sistema validaba los permisos en la aplicación web, pero no en el servidor (backend).
¿Cuál fue la respuesta de la FIFA ante este aviso?
Aunque las oficinas estaban cerradas por ser domingo, el problema fue corregido el lunes 15 de junio, un día después del hallazgo, tras recibir los avisos del investigador.
¿Por qué fue difícil para el investigador alertar sobre el problema?
Según BobDaHacker, la FIFA no disponía de un archivo security.txt, política de divulgación de vulnerabilidades ni un programa de recompensas (‘bug bounty’), lo que complicó el contacto inicial.
