Clubes de futebol são alvos prioritários para hackers

Estas terão os meios financeiros para pagar e o interesse em fazê-lo, no sentido de proteger dados pessoais, informação sensível e infraestruturas de funcionamento. Os clubes de futebol têm sido alvo recorrente e crescente de ciberataques. Vejamos alguns exemplos.

O caso do Manchester United
No final de Novembro, foi notícia na imprensa internacional que o Manchester United havia sofrido um ciberataque em grande escala. O interesse pelo tema chegou à Índia, onde o Indian Express referiu que o ataque, detetado no dia 20 de novembro, envolveu o Centro Nacional de Cibersegurança (NCSC), a agência especializada no governo britânico para esta matéria – prova da gravidade da situação.

O site especializado Security Boulevard especulou que o suspeito provável do ataque seria o “ransomware” Ryuk, lançado por uma organização cibercriminosa já conhecida pelas autoridades e pela imprensa internacional. O Ryuk poderia ter sido lançado através do vírus “trojan” Emote, relativamente ao qual se registou um crescimento de atividade nas semanas anteriores ao anúncio feito por parte dos Red Devils.

O United não divulgou dados concretos relativos ao ataque; nem a extensão dos danos, nem um eventual montante de resgate pedido pelos criminosos. O procedimento de não divulgação é habitual e é recomendável. Porém, ainda segundo o Security Boulevard, o pedido de resgate poderia ter ascendido a 5 milhões de libras (cerca de 5,5 milhões de euros ao câmbio atual).
O Indian Express acrescentou que os funcionários do United estariam sem acesso às suas contas de e-mail. Existiria também o risco de divulgação dos dados pessoais dos utilizadores do “fan site”, embora o clube negue que existam hipóteses de tal suceder.

Os casos repetem-se na Grã-Bretanha
Citando o Daily Mail, o Indian Express acrescenta que o NCSC revelou que 70% dos clubes desportivos britânicos sofreram algum tipo de “ciber incidente” em 2019, o dobro em relação a outros setores de atividade. Um clube do Championship, o segundo escalão do futebol inglês, terá mesmo pago 4 milhões de libras (4,4 milhões de euros) por um resgate deste género.

Rui Pinto e o Manchester City
A imprensa internacional tem estado igualmente atenta a outros casos, nomeadamente às investidas de Rui Pinto. O mesmo Indian Express, citando o The Guardian, recordou que, em 2018, o hacker português havia conseguido acesso aos sistemas de comunicações do Manchester City, obtendo indícios de que os “Citizens” estariam a violar as regras de “fair play” financeiro da UEFA. Rui Pinto entregou a documentação à revista alemã “Der Spiegel” e o caso resultou, inicialmente, numa penalização para o clube inglês de dois anos sem acesso à Liga dos Campeões – decisão mais tarde revertida pelos tribunais desportivos.

Recordando o caso do Sporting
Recorde-se que o julgamento de Rui Pinto tem vindo a revelar debilidades extremas também no futebol nacional. Averiguou-se que Rui Pinto foi capaz de aceder a comunicações e documentos confidenciais do Sporting CP através de técnicas de “phishing”. Pior que isso; nas mais recentes sessões do julgamento, David Tojal, ex-responsável de segurança informática do Sporting, revelou que as passwords dos sistemas de e-mail mais importantes dos “leões” tinham passwords “ultra simples”, do género 123456.

Medidas de segurança contra ciberataques
Clubes de futebol e quaisquer outras organizações devem tomar medidas sérias, e continuadas no tempo, para se protegerem contra ciberataques. Como qualquer investimento em segurança, tais medidas só parecem um custo até ao momento em que se revelam necessárias e fica claro que são um investimento. E bastante económico – até porque algumas das medidas básicas não envolvem montantes elevados.

Sensibilização de funcionários e colaboradores
Não se pode pensar que usar passwords complexas é “demasiado para as nossas cabeças” - foram estas as palavras usadas por David Tojal, no julgamento de Rui Pinto, para se referir ao que os responsáveis do Sporting lhe responderam quando sugeriu o uso de senhas mais complexas. A autenticação de dois fatores deve ser adotada sempre que possível. Todos os colaboradores devem ser instruídos no sentido de desconfiar sistematicamente de e-mails e links suspeitos.

Firewall
Uma firewall é uma medida de proteção básica que limita os acessos exteriores a um computador ou uma rede. O Microsoft Windows inclui uma firewall que deve estar sempre ligada.

VPN
Uma Virtual Private Network (VPN) é um serviço online que protege as comunicações entre um computador, um router ou uma rede e a internet, criando um “túnel privativo”. A comunicação é encaminhada através de um servidor da VPN de maneira a quem nem o fornecedor de serviços de internet, nem entidades terceiras ou intrusos possam ter acesso livre às atividades e comunicações que por aí circularem. Uma VPN é extremamente útil para impedir o acesso de vírus e malware em geral.

Software atualizado
Um dos principais motivos para as frequentes atualizações de software é a descoberta de vulnerabilidades no seu funcionamento que permitam a sua exploração por cibercriminosos. Manter o software atualizado é grátis e deve estar sempre na ordem do dia.