El próximo 26 de julio, miles de atletas desfilarán en barcos sobre el río Sena, ante la atenta mirada de 400.000 espectadores. Será la primera vez en la historia de los Juegos Olímpicos que la ceremonia inaugural se realiza fuera de un estadio, con acceso libre y gratuito a todos los que quieran disfrutar del espectáculo. Salvo que un ciberataque acabe con todo ello.
No es un riesgo menor. Tras los 500 millones de ataques de 2016 en Río, en los Juegos de Tokio de 2021 se superó la cifra de 4.000 millones de ciberataques. De ahí la importancia de la ciberseguridad en un evento que, para el país anfitrión, supone el mismo reto que organizar 60 mundiales de fútbol a la vez.
12 millones de espectadores, 30.000 voluntarios, 10.000 atletas, 206 naciones, 40 sedes de competición que se deben proteger... y el mundo entero pendiente de la televisión. Hasta 4.000 millones de personas siguen este evento deportivo por televisión, donde el más mínimo fallo puede exponer la credibilidad internacional de Francia y afectar seriamente a su imagen como país.
Y no es el territorio galo un lugar poco expuesto a los riesgos. Desde los atentados de 2015, hasta los disturbios con motivo de la final de la Champions League en 2022, la ciudad de París ha sido testigo de incidentes que a menudo han derivado en críticas a su gestión. Y sin embargo, no es la seguridad física lo que más preocupa a las autoridades galas, sino el riesgo de un ciberataque.
El pasado mes de diciembre, el presidente de la república francesa, Emmanuel Macron, advirtió que si Francia vuelve a verse afectada por ataques extremistas o una crisis de seguridad, la gran ceremonia de apertura que París planea celebrar a orillas del Sena podría posponerse.
Unos días después, el presidente del Comité Organizador de los Juegos Olímpicos de París 2024 (COJO), Tony Estanguet, ha despejado cualquier incógnita sobre estas palabras. La ceremonia solo se modificará si se concretan riesgos en términos de ciberseguridad o con condiciones meteorológicas adversas.
Es por tanto un ataque cibernético lo que más preocupa a la hora de organizar un evento en el que trabajarán más de 180.000 personas. Eso sí, no todas están contratadas, ni son fáciles de localizar. Se calcula que harán falta 17.000 profesionales más de la seguridad privada y un aumento de conductores de metro y autobús, perfiles que hoy escasean en la capital gala.
Los riesgos cibernéticos en unos Juegos Olímpicos
Para los organizadores de un evento de estas características, los riesgos cibernéticos son omnipresentes. Captura de vídeo para la televisión o los árbitros, cámaras videovigilancia y sistemas de alarma, lectores de tarjetas de identificación y billetes... Cada equipo conectado es un punto de entrada potencial para los ciberdelincuentes. A esto hay que añadir la logística y la cadena de subcontratación, que aumentan considerablemente la superficie de ataque.
Además, esta edición de París incluye eventos deportivos en el corazón de las joyas del patrimonio francés, y no solo en estadios cerrados. El tiro con arco en Los Inválidos, el voleibol de playa a los pies de la Torre Eiffel, la esgrima en el Grand Palais, la ceremonia de inauguración en el Sena... Estos escenarios abiertos en la capital conllevan su propia serie de dificultades para su protección.
Los aficionados, los espectadores o los telespectadores también son víctimas potenciales en este caso, y pueden sufrir el impacto de los ciberataques que provocan, por ejemplo, la interrupción de las emisiones televisivas. Pero también pueden ser objetivo directo de ciberataques a través de campañas de phishing.
Como explica en una publicación de StormShield Nicolas Caproni, responsable del equipo de investigación y detección de amenazas de SEKOIA.IO, los ciberdelincuentes aprovecharán el evento para enviar campañas de phishing, recurriendo a concursos para aumentar las posibilidades de que abran los mensajes y hagan clic en enlaces comprometedores. También pueden esconder malware en un pdf como parte de una estafa para vender o revender entradas. Asimismo, tratarán de recopilar datos personales, datos de tarjetas de crédito que luego tendrán valor en la darknet.
Otra amenaza que se contempla es la difusión de fake news o información falsa. Estas nuevas armas pueden utilizarse para perturbar los eventos mediante la filtración de datos que no deberían haberse comunicado o la falsificación de datos. Debido a la complejidad de la implementación, en este caso se trata más bien de ataques estatales.
Por último, las amenazas durante los Juegos Olímpicos y Paralímpicos también afectan a los deportistas. Vincent Riou, socio de Avisa Partners, menciona algunos ejemplos de posibles ataques a estos últimos: "Las llaves de acceso a los hoteles, el aire acondicionado, las alarmas contra incendios, los marcadores digitales, los cronómetros... Todo está digitalizado. Imagínese las consecuencias de una alteración de la cadena de frío en el suministro de alimentos para ciertas delegaciones o la activación de las alarmas de incendio en los hoteles de ciertos deportistas el día antes de una competición importante".
Historia de los ciberataques olímpicos
La cuestión de la ciberseguridad en los Juegos Olímpicos y Paralímpicos se viene planteando desde hace diez años. En 2004, durante los Juegos de Atenas, el principal riesgo de perturbación tecnológica estuvo vinculado con la zona sísmica. En 2008, con motivo de los Juegos Olímpicos de Pekín, se crearon algunos sitios ficticios para la compra de billetes falsos. Pero la ciberseguridad no pasó a ser una de las prioridades de los organizadores hasta el ataque a la ceremonia de apertura de los Juegos de Londres en 2012. En 10 años, el número de ciberataques se ha multiplicado por 20, pasando de 212 millones durante los Juegos de Londres 2012 a 4.400 millones en los de Tokio en 2021.
En 2016, en los Juegos de Río, las cifras se dispararon, con 500 millones de ciberataques registrados. Esto corresponde a 400 ataques por segundo. Varios meses antes de la ceremonia de apertura, se produjeron ataques DDoS consecutivos y a gran escala contra los sitios web de las organizaciones asociadas a los Juegos Olímpicos. Los ataques efectuados por la red de bots LizardStresser (que ya había sido noticia tras el bloqueo de las plataformas de juego online PSN y Xbox Live) se intensificaron durante los Juegos Olímpicos, incluida una campaña de DDoS de más de 500 Gbps.
En 2018, el fenómeno se intensifica, ya que la ceremonia de apertura de los Juegos de Pyeonchang (Corea del Sur) fue objeto de ataques. Algunos espectadores no pudieron imprimir sus entradas para entrar en el estadio, hubo un problema con el Wifi en el emplazamiento, la ceremonia no se retransmitió en las pantallas del estadio, el sensor RFID de las puertas de acceso no funcionaba y la aplicación oficial de los Juegos Olímpicos tampoco
El malware Olympic Destroyer causa estragos, en directo, ante miles de espectadores y periodistas. Los equipos de ciberseguridad necesitan 12 horas de duro trabajo para reconstruir la infraestructura informática de los Juegos Olímpicos a partir de las copias de seguridad. Este inusual ataque se convirtió inmediatamente en un asunto de calado internacional. Atribuido a Rusia, se realizó en represalia por la prohibición de su bandera en esta edición, tras los casos de dopaje en Sochi.
En 2021, los Juegos Olímpicos de Tokio se celebraron a puerta cerrada. A pesar de ello, esta edición no estuvo exenta de ataques, ya que se lanzaron 4400 millones de ciberataques contra la organización. Según la Nippon Telegraph and Telephone Corporation (NTT), se utilizaron varios medios de ataque, como correos electrónicos de suplantación de identidad y sitios web falsos que imitaban los sitios oficiales de los Juegos.
Por último, en 2022, durante los Juegos de Invierno de Pekín, fue la aplicación oficial de lucha contra la COVID-19, My2022, la que suscitó polémica por el temor al ciberespionaje. Las autoridades de muchos países dieron instrucciones a sus delegaciones, como la recomendación de llevar un dispositivo telefónico desechable.