La FIA sufre un hackeo y se filtran datos confidenciales de los pilotos de Fórmula 1

La Federación Internacional del Automóvil (FIA) quedó expuesta a tras un ataque de ciberseguridad de gran magnitud, tras descubrirse que más de 7.000 archivos personales y reservados de pilotos estuvieron al alcance de un ciberdelincuente. Entre esos documentos figuran identificaciones de primer nivel, como el pasaporte o la Superlicencia del campeón mundial Max Verstappen. El ataque dejó al descubierto las carencias del sistema de protección digital de la entidad rectora del automovilismo.

La filtración se originó a raíz de una vulnerabilidad en el portal de Categorización de Pilotos, administración online destinada a la gestión y acreditaciones de los conductores en distintas categorías. Un hacker consiguió ingresar utilizando una cuenta compartida, lo cual evidenció una falta de protocolos adecuados en la gestión de credenciales y la seguridad interna del sistema.

Aunque el incidente ocurrió el pasado 3 de junio, no trascendió hasta que Ian Carroll, experto en ciberseguridad, publicó los resultados de su hallazgo en un blog personal. Carroll, que actúa como investigador de seguridad, ha narrado cómo logró escalar privilegios dentro de la plataforma hasta lograr acceso a sus capas más protegidas. “Parecía que teníamos acceso total de administrador al sitio web de Categorización de Pilotos de la FIA”, ha relatado Carroll. Su afirmación refleja la magnitud del fallo, donde una única brecha permitía manipular datos extremadamente sensibles.

El investigador ha asegurado: “Detuvimos las pruebas tras comprobar que era posible acceder al pasaporte, currículum, licencia, hash de contraseña e información personal identificable de Max Verstappen. Se pudo acceder a estos datos de todos los pilotos de F1 con una clasificación, junto con información confidencial de las operaciones internas de la FIA. No accedimos a ningún pasaporte ni información confidencial y todos los datos han sido eliminados”. Carroll subrayó que él y su equipo notificaron de inmediato sus hallazgos a la FIA. Pese a la magnitud del acceso, aseguró que no retuvieron información y que su objetivo fue alertar sobre la debilidad del sistema para minimizar cualquier potencial daño o uso indebido de los datos.

La FIA, una vez informada de lo sucedido, emitió un comunicado para confirmar lo ocurrido y detallar las acciones implementadas. El portal RaceFans publicó la declaración institucional de la organización: “La FIA tuvo conocimiento de un ciberataque que afectó al sitio web de Categorización de Pilotos de la FIA durante el verano. Se tomaron medidas inmediatas para proteger los datos de los pilotos y la FIA informó del problema a las autoridades de protección de datos competentes, de conformidad con sus obligaciones. También se ha notificado al pequeño número de pilotos afectados por este problema. Ninguna otra plataforma digital de la FIA se vio afectada por este incidente”.

La federación procedió a desconectar de inmediato el sitio web involucrado y, según detallaron, implementaron una solución integral durante la semana siguiente. “Hemos invertido ampliamente en ciberseguridad y medidas de resiliencia en todo su patrimonio digital y hemos implementado medidas de seguridad de datos de primer nivel para proteger a todas sus partes interesadas e implementar una política de seguridad por diseño en todas las nuevas iniciativas digitales”, remarcó la FIA en su mensaje oficial.

Este episodio reveló las vulnerabilidades que todavía afectan a grandes organizaciones, incluso aquellas con recursos significativos y amplia exposición mediática. El caso de la FIA recuerda la importancia de la innovación constante en la protección de los datos y la necesidad de reacción y transparencia ante incidentes de seguridad digital, especialmente cuando afectan a figuras de relevancia global en el deporte.