El dinero que se llevó en apenas una hora el hacker que vulneró la cuenta del Barça en Instagram

Hace unos días, el FC Barcelona fue víctima de un ataque virtual que dejó a la vista el auge de la ciberdelincuencia y la vulnerabilidad de las redes sociales de uno de los clubes deportivos más grandes del mundo. El objetivo de los hackers que llevaron a cabo este movimiento fue la cuenta principal de Instagram de la entidad, que cuenta con más de 144 millones de seguidores.

La cuenta culé fue secuestrada durante aproximadamente una hora, tiempo en el que los ciberdelincuentes aprovecharon para promocionar un proyecto falso de criptomonedas, en este caso en una plataforma llamada pump.fun, vinculada a la red Solana. Los mensajes publicados (dos en total), rezaban que la entidad azulgrana estaba «construyendo algo enorme en Solana» y que «vamos a la luna», invitando a todos los aficionados que leyeran eso a invertir en un supuesto token oficial.

La criptomoneda anunciada fue comprada por miles de usuarios en cuestión de minutos, sin tener noticias de que todo se trataba de una maniobra fraudulenta. Según datos de Protos, un portal especializado, el token fue creado a las 0:45 horas UTC y alcanzó una capitalización de 3 millones de dólares antes de desplomarse hasta los 47.800 dólares. El hacker en cuestión, encontrado en la blockchain a través de un código identificador propio de cada usuario, obtuvo alrededor de 26.000 dólares en recompensas de creador en menos de una hora.

El engaño fue muy efectivo por el efecto de confianza que genera una publicación desde una cuenta verificada de un club tan grande como el Barça, tanto fue así, que uno de los posts llegó a 169.000 visualizaciones, 1.600 comentarios y 1.400 republicaciones, antes de ser eliminado. Es importante recalcar que aunque la web Pump.fun es una plataforma legítima para lanzar memecoins, no cuenta con controles de verificación sólidos sobre la identidad de los promotores o la autenticidad de sus proyectos.

Los analistas apuntan a que el método utilizado para el ataque fue un robo de cookies o sesión, una técnica con la que se puede acceder a una cuanta sin necesidad de saber la contraseña. Una vez dentro del perfil, solo se tuvieron que publicar los mensajes con la dirección del token falso. La clave fue la inmediatez, ya que el hacker logró ganancias tras la vertiginosa subida del precio de la moneda, y miles de usuarios terminaron con activos que carecían de valor.

Los clubes deportivos, convertidos en activos digitales de gran valor con tiendas online, aplicaciones móviles y bases de datos de miles de aficionados, se han convertido en un objetivo de alto valor para este tipo de delitos. «Entidades como el Real Madrid o el FC Barcelona manejan volúmenes masivos de datos personales integrados en sistemas complejos de ticketing, CRM o e-commerce», explicaba Sancho Lerena, CEO de Pandora FMS y experto en seguridad informática.

El Barça ya había sufrido algo parecido anteriormente. En el año 2020, el grupo OurMine hackeó su cuanta de Twitter, que usaron para publicar mensajes falsos sobre fichajes del club. Más recientemente, sufrieron también un ciberataque en su plataforma de streaming, que cortó una emisión en directo que se estaba realizando en ese momento. Otros equipos españoles como el Deportivo de la Coruña vieron también comprometidos los datos de sus socios por brechas en los servidores de Amazon Web Services.