En el sitio de la taquilla de los Juegos Olímpicos y Paralímpicos (JOP), los Friges aseguran la recepción. Desde 1ejem Diciembre, las mascotas de París 2024 marcan el proceso de registro de visitantes. El procedimiento es aparentemente fácil. El otro lado de la decoración es mucho más complejo. Moviliza a un centenar de personas bajo el liderazgo del Comité Organizador de los Juegos Olímpicos y Paralímpicos (Cojop). En realidad, es toda la comunidad de ciberseguridad la que está en el puente.
La Primera Ministra Elisabeth Borne ha encargado a la Agencia Nacional de Seguridad de los Sistemas de Información (Anssi) que lidere la estrategia de prevención de ciberataques. «Como la mayoría de los eventos importantes, los Juegos de París son un objetivo principal»señala la agencia. “Tenemos un equipo muy fuerte, desde marketing hasta TI, y un grupo de expertos formado por las empresas CTS Eventim, ya a cargo de la venta de entradas en los Juegos de Río, Francebillet y Orange Business Services”, enumera Damien Rajot, director de operaciones comerciales de París 2024.
Ingresos esperados: 1.420 millones de euros
La emisión de boletos es un problema importante. Sobre todo a la luz de los «hipos» registrados durante la final de la Champions League de fútbol, en el Stade de France (Seine-Saint-Denis), a finales de mayo -detección de muchas entradas falsificadas-, o, más recientemente, durante el Mundial de Qatar, con algunas entradas «desapareciendo» por un bug en la aplicación FIFA.
“La plataforma de venta de entradas está experimentando miles o incluso millones de ataques, en ocasiones coordinados, y que se han incrementado considerablemente en los últimos años”, señala Aline Barthélémy, consultora de ciberseguridad de la empresa suiza Enova. La taquilla de los Juegos tiene algo para atraer la codicia: con 13,4 millones de entradas, París 2024 espera 1.420 millones de euros (incluidos los ingresos por hospitalidad) de los 4.380 millones de ingresos presupuestados.
“Para los piratas informáticos, es una forma de ganar dinero. Para los activistas, una forma de ganar visibilidad. Y para las potencias extranjeras, una forma de empañar la reputación del país”enumera el especialista.
Proteger la taquilla consistió primero en dotar de un sistema bastante potente. “Sabemos que, en todos los eventos internacionales, los sistemas fallan cuando le damos a la gente una fecha única para registrarse. Gestionar los flujos de apertura, mediante esclusas de compra, es una primera seguridad »subraya el Sr. Rajot.
Sitios falsos, cada vez más realistas
En el caso de París 2024, para acceder a la zona comercial, los espectadores serán sorteados. Luego tendrán un espacio de cuarenta y ocho horas, a partir del 15 de febrero, para adquirir hasta dieciocho boletos en línea. Qué evitar la saturación del sitio y prevenir la compra compulsiva de plazas por parte de robots.
“Es una buena idea suavizar las demandas, pero aún debe planificar la energía. Estamos hablando aquí del equivalente de varios conciertos, simultáneamenteeleva Ma mí Bartolomé. Los piratas informáticos también podrían enviar muchas solicitudes, por lo que el sistema no puede mantenerse al día con la carga. » A esto se suma la amenaza de los falsificadores. La llegada de espectadores con entradas falsificadas podría crear tensiones en torno al evento, más allá de la pérdida económica inducida. Para la organización, parte de la solución residía en la elección de las entradas desmaterializadas.
“La entrada en papel se puede fotocopiar y falsificar, como vimos en el Stade de France. Para los Juegos, los boletos serán enviados a los celulares de los espectadores, unos días antes de los eventos, con un código QR que será renovado.explica el Sr. Rajot.
Otra medida preventiva: una única plataforma asegura la venta. En el sitio, un Phryge desliza su «consejo de entrenador» : “Si ve otro sitio web que ofrece entradas para París 2024, puede estar seguro de que no es un canal de venta legítimo. » No es poca cosa cuando los piratas informáticos crean sitios falsos cada vez más realistas. “Servicios del Estado monitorearán los nombres de dominio que se registren, para ver si no hay direcciones que los copien, a veces hasta la letra más cercana”, detalles Ma mí Bartolomé.
Estado de amenaza evaluado
El especialista también anticipa envíos a mensajería y redes sociales «cientos de invitaciones a concursos» con personas “Quién pensará que ha ganado entradas -equivocadamente- y se presentará en las puertas de los estadios. Podría crear un buen lío. En ciberseguridad, por lo tanto, es mejor prevenir que curar.
“Los grupos de hackers están referenciados por país y por tipo de objetivo. Investigadores conectados a la dark web están evaluando el estado de las amenazas para ver qué grupos podrían atacar los Juegos”. expone el consultor.
Anssi ha puesto en marcha un sistema, con Cojop y el Ministerio del Interior, para “asegurar los sistemas de información críticos para la preparación y el buen funcionamiento de los Juegos, proteger los datos sensibles y preparar la respuesta operativa del Estado en caso de un ataque que afecte el evento”. Difícil saber más, se requiere discreción. Sin embargo, la organización reconoce que ningún sistema es impenetrable. “Hay que estar atento y tener los sistemas adecuados. Todavía hay cosas que ajustar, pero la fase de lanzamiento ha tenido un buen comienzo”. dice Damián Rajot.
Para estar a la altura del desafío, la revisión del presupuesto de Cojop, validada por la Junta Directiva el 12 de diciembre, registró un aumento en el gasto en ciberseguridad de 17 millones de euros a 28,3 millones de euros, incluidos 15,7 millones de euros para el centro operativo de ciberseguridad.