A 45 días del Mundial 2026, el fútbol sufre uno de los peores ataques de su historia: información de Cristiano Ronaldo y otras 150,000 personas habría sido filtrada

El que podría ser uno de los incidentes de seguridad más serios en su historia sacudió esta semana al mundo del fútbol. Según reportes de medios especializados y foros de ciberseguridad, un ciberataque masivo logró acceder a datos sensibles de la Confederación Asiática de Fútbol (AFC), y exponer información sensible de más de 150,000 jugadores, técnicos y empleados, incluyendo estrellas como Cristiano Ronaldo, Sadio Mané y Joao Félix.

La AFC supervisa el fútbol en Asia y Australia. El reporte de medios como Techradar indica que la información filtrada incluye copias de pasaportes, contratos, direcciones de correo electrónico y datos personales de identificación. La escala y el detalle de los datos plantean grandes preocupaciones.

Esa escala se ve en los números: pasaportes de 69,000 jugadores y 81,000 entrenadores, ejecutivos, referees y miembros del equipo técnico, así como direcciones de email y formas de registro en la AFC. Peor aún, el ataque expuso los contratos de muchos de los involucrados y sus documentos de identificación. La fuga incluye, al menos, algunos datos bancarios.

"La combinación de escaneos de pasaportes, direcciones de correo electrónico verificadas y datos de contratos de jugadores crea un paquete altamente accionable para fraude financiero, manipulación de contratos e ingeniería social dirigida contra algunos de los atletas con mayores ingresos del mundo", dijo Jeanette Miller-Osborn, oficial de Inteligencia Cibernética de Campo en Dataminr.

Según el medio Sports And Crime, la filtración apareció en PwnForums, un foro independiente enfocado en actividades de ciberdelincuencia, durante el fin de semana del 25 al 26 de abril. El actor detrás de la publicación, que se hace llamar "fuckiewuckie", atribuyó el ataque a ShinyHunters, el notorio colectivo de brechas cuyos administradores fueron arrestados en Francia en junio de 2025, tras haber vulnerado mediante vishing (phishing de voz) la base de datos Salesforce de Google.

Cómo ocurrió el ataque

Esta vez, el ataque parece haber comenzado en los servidores de un solo club: el Al Nassr de Arabia Saudí. Desde ese punto, la brecha se extendió hasta golpear la base de datos completa de jugadores de la AFC.

Por eso, el caso desnuda la arquitectura real, y a menudo invisible de esta clase de organizaciones. La mayoría de los usuarios tiende a pensar en los clubes de fútbol dentro de una agremiación como fortalezas independientes, pero la reacción en cadena que postró a la AFC demuestra que son, en realidad, fichas en un dominó, nodos en un sistema interconectado.

Al fin y al cabo, cada equipo necesita comunicarse de manera permanente y bidireccional con la Confederación para poder registrar fichajes, validar historias médicas, subir contratos, tramitar visados y muchos otros trámites. Los canales que conectan ese andamiaje son, ha quedado demostrado, puntos débiles que presentan oportunidades para los criminales.

A falta de una confirmación oficial por parte de la AFC, queda por establecer cuánto de los datos es ya público. Los hackers pusieron en redes sociales fotos difuminadas de documentos aparentemente pertenecientes a Ronaldo y otras estrellas.

Los escaneos de pasaportes entre los materiales filtrados elevan este caso más allá de una simple brecha deportiva, con posibles implicaciones para la seguridad nacional en múltiples países miembros de la AFC y en la infraestructura más amplia de torneos de la FIFA. El incidente ocurre, además, a seis semanas del inicio de la Copa Mundial de Fútbol, en un periodo de por sí delicado para la AFC, que ya estaba sujeta a escrutinio sobre la gestión de documentos y los controles internos.