À medida em que o calendário esportivo mundial se aproxima dos tão aguardados Jogos Olímpicos de 2024 e Campeonato Europeu de Futebol (ou Eurocopa), a Check Point Software alerta para a sombria ameaça de prejudicar estes espetáculos.
A tendência de ciberataques a eventos esportivos aumentou drasticamente, com um crescimento de 20 vezes mais nos ataques aos Jogos Olímpicos de 2012 a 2021, culminando num número impressionante de 4,4 mil milhões de ataques durante os jogos de Tóquio. Da mesma forma, a Copa do Mundo de Futebol de 2022 revelou um fluxo de e-mails de phishing, sublinhando uma maré crescente de ameaças cibernéticas que o mundo esportivo tem de enfrentar.
Uma pesquisa realizada pelo Centro Nacional de Cibersegurança (NCSC) do Reino Unido concluiu que 70% das organizações esportivas são atingidas por pelo menos um ciberataque por ano, o que comprova a vulnerabilidade da indústria do esporte no meio digital. Esta vulnerabilidade não se limita ao roubo de dados confidenciais, estende-se à fraude financeira, à manipulação dos resultados das competições e até à segurança física dos participantes e espectadores por meio de perturbações nos sistemas de segurança dos eventos.
Com a fácil disponibilidade de transmissão e visualização online, estes eventos geram uma grande quantidade de ingressos a nível mundial, com um volume de mercado projetado de mais de 28 mil milhões de dólares em 2023, de acordo com a Statistica. O fascínio do esporte e as grandes vendas que este proporciona, com mais de 6 bilhões de pessoas assistindo a eventos como os Jogos Olímpicos e Campeonato Mundial de Futebol, representam uma oportunidade de ouro para os cibercriminosos. Estes adversários exploram a paixão e o envolvimento dos torcedores, lançando sofisticadas campanhas de phishing e ataques de ransomware destinados a roubar dados bancários, informações pessoais, dados de vendas, credenciais de início de sessão e muito mais.
O Mundial de Futebol do Qatar de 2022, por exemplo, foi palco de fraudes relacionadas com apostas esportivas e com a venda de ingressos de última hora, o que ilustra a natureza multifacetada destas ciberameaças. Durante um dos jogos, o provedor de em streaming em vídeo multicanais, FuboTV, foi também alvo de um ciberataque, o que levou à interrupção dos serviços prestados aos fervorosos torcedores, provocando indignação mundial devido à interrupção da transmissão dos jogos e afetando gravemente a sua reputação como fornecedor estável de streaming. Esta situação levou muitos organismos de difusão de eventos mundiais a reverem a sua segurança em termos de infraestruturas e de software, para evitar perturbações ou o roubo de propriedade intelectual ou mesmo a sua utilização indevida para fins maliciosos ou hacktivistas.
As ciberameaças também chegam sob a forma de ataques à experiência do espectador e aos sistemas de venda de ingressos, bem como de fraudes online, quando os criminosos tentam roubar dados e informações financeiras de clientes ou atletas. A transformação digital dos recintos eesportivos, com as suas redes e dispositivos interligados, introduziu novas vulnerabilidades.
Os atacantes aproveitam estas fraquezas para se infiltrarem nos sistemas, implementando malware e roubando dados de pontos de venda e de venda de tickets online, que são um alvo habitual dos criminosos através de tentativas de phishing, uma vez que a fraude com entradas tem aumentado exponencialmente, de dispositivos dos visitantes quando estes iniciam sessão em aplicativos para participarem nas atividades relacionadas com estes eventos esportivos mundiais e até através de QR codes maliciosos. Esta complexidade de ameaças exige uma resposta sólida e coordenada das autoridades esportivas, dos peritos em cibersegurança e da comunidade mundial.
“Quando decidimos comprar ingressos para eventos de alcance mundial, devemos sempre estar atentos se estamos no site oficial, de modo que não compartilhemos nossos dados pessoais e bancários com hackers. O alerta vale não somente para eventos esportivos, mas, recentemente no Brasil houve fraudes com ingressos online relativos a shows de celebridades internacionais”, afirma Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil. “Na hora da emoção, as pessoas podem não prestar atenção e, o que seria um sonho realizado, pode se tornar um verdadeiro pesadelo”, completa Falchi.
Este aumento das ameaças que os eventos mundiais enfrentam ultrapassa a evolução e a sofisticação típicas dos ciberataques. Embora os incentivos financeiros desempenhem um papel importante, outros fatores contribuem significativamente para as vulnerabilidades observadas neste setor. Um aspecto crucial é a complexa rede de fornecedores com os quais as organizações esportivas colaboram, criando uma cadeia de fornecimento complexa, que obriga a numerosos pontos de acesso aos sistemas, tornando-os mais suscetíveis a violações.
Além disso, as limitadas equipas técnicas presentes no local, mais preocupadas com a transmissão de eventos ou com o tratamento das transações dos torcedores, negligenciam frequentemente o aspecto da segurança devido à complexidade da gestão de sistemas tão vastos. A utilização de sistemas antigos não concebidos com práticas de segurança atualizadas e a falta de conhecimento das ciberameaças emergentes agravam ainda mais os riscos.
Os agentes de ameaças e cibercriminosos dos Estados também veem um grande potencial em perturbar ou, em alguns casos, ultrapassar o próprio evento esportivo ou a sua transmissão, utilizando-o como meio de mostrar a sua capacidade cibernética. Existe o receio de que os cibercriminosos explorem as capacidades de transmissão, como os painéis de vídeo em grande escala ou os painéis digitais, para promover a sua agenda.
Um exemplo de campanhas maliciosas de cibercriminosos para prejudicar esses eventos esportivos mundiais foi visto em 2018, quando o grupo de hackers russo patrocinado pelo Estado, Fancy Bear, visou os Jogos Olímpicos em retaliação à proibição da Rússia. Por meio de alegados e-mails roubados da equipe antidopagem do COI, o Fancy Bear tentou prejudicar a investigação, retratando a decisão do COI como motivada politicamente. Este incidente sublinha a possibilidade de as ciberameaças mancharem a integridade de eventos desportivos mundiais para influenciar a opinião pública a favor da sua causa.
Diante destes desafios, é fundamental que as partes interessadas da indústria do esporte adotem medidas de cibersegurança atualizadas e abrangentes. Estas ações incluem o reforço da segurança dos sistemas de informática através de firewalls, software de detecção e operações de segurança preventivas, a adoção de protocolos de criptografias fortes para reforçar as redes contra o acesso não autorizado e a realização de auditorias de segurança regulares para corrigir rapidamente ou identificar vulnerabilidades.
Tem de se assegurar a sensibilização e a formação dos usuários, tanto por parte dos atletas como das organizações esportivas afiliadas e até dos torcedores, para promover melhores ações de segurança, como o reconhecimento de mensagens de e-mail de phishing ou a prevenção de downloads de links suspeitos, salientando a necessidade de vigilância e preparação contra estas ameaças.
O mundo do esporte não está sozinho nesta luta e as empresas de tecnologia e as de cibersegurança desempenham um papel fundamental na defesa contra os ciberataques. Ao estabelecerem parcerias com companhias de segurança para monitorarem continuamente a rede de tráfego, de modo a detectarem rapidamente potenciais violações imediatas da segurança e a implementarem as medidas de melhores práticas, uma forte postura de segurança ajudará estas organizações a reforçarem as suas defesas para protegerem a integridade dos eventos esportivos e a segurança de todos os participantes.