Protección de datos multa a la Real por el ciberataque de 2023 que afectó a registros de socios, empleados y jugadores

La Real tomó consciencia de que había sido víctima de un cibertaque el 16 de octubre de 2023, al percatarse de que sus sistemas habían sido encriptados. La «brecha de confidencialidad y disponibilidad» por este 'ciber-incidente de tipo ransonware' -así lo recoge la resolución de la AEPD- afectó a datos especialmente sensibles de 60.000 personas como biométricos, básicos (nombre, apellidos, fecha de nacimiento...), imágenes, documentación como DNI o pasaporte, económicos y financieros, de localización y de contacto o de salud, estos últimos exclusivamente de los empleados.

La resolución concluye que no se han hallado indicios de que se haya producido «exfiltración de datos» ni de que el autor haya puesto a la venta o reivindicado el ataque. Se deduce que su objetivo era la «obtención de rédito económico mediante el uso de un malware de tipo ransonware». El informe forense reconoce vulnerabilidad y falta de segmentación de la red por parte del club.

Dos días después de ser consciente del ataque, la Real Sociedad emitió un breve comunicado exponiendo los hechos y asimismo envió un correo electrónico a sus socios, accionistas, RS Fans y RS Lagunak en el que quiso transmitir tranquilidad: «Queremos remarcar que los datos bancarios expuestos únicamente incluyen el número de cuenta en el que realizamos los cargos de sus abonos; esto es, esta circunstancia no supondrá afecciones que, en última instancia, pudieran desembocar en posibles pérdidas financieras». También el presidente, Jokin Aperribay, manifestó días después que «tenemos seguridad de que no pueden entrar en las cuentas corrientes de los socios».

El club txuri-urdin, que presentó la pertinente denuncia ante el Ertzaintza, transmitió a la AEPD que no tenía ni «constancia» ni «evidencia forense» de que los datos de carácter personal hubieran sido sido comprometidos. No obstante, la postura de la AEPD es distinta y habla de «datos personales cuya disponibilidad se vio afectada por la brecha de disponibilidad», que además, denuncia, «no se encontraban cifrados, lo que pone de manifiesto, de nuevo, una ausencia de medidas de seguridad adecuadas al riesgo».

Entre esos datos «cuya disponiblidad se vio afectada» por el ciberataque también figuran los de categoría especial, relacionados con discapacidad, datos médicos y psicológicos de los jugadores, segundas opiniones médicas, certificados de delitos sexuales, números de la Seguridad Social, números de cuenta, deduciones impositivas, historial del trabajador y nómina y los datos derivados de la gestión de los campus y los eventos, como imágenes de los participantes y alergias.

La Real abonó los 66.000 euros de la multa y aceptó su responsabilidad en la falta de protección de la información, pero además la resolución, con fecha de 12 de agosto, le obliga a acreditar en un plazo de tres meses que ha implantado las medidas de seguridad adecuadas al riesgo, para tratar de evitar otro ciberataque.

En este contexto, el pasado 11 de agosto dio cuenta de su acuerdo con la firma NordVPN, desde ahora nuevo 'Partner Oficial de Ciberseguridad del club' para esta temporada 2025/2026.