Dinamo: el incidente de seguridad no afectó directamente a las páginas del club, las tarjetas y las contraseñas no fueron comprometidas
GNK Dinamo publicó el 3 de junio de 2026 un aviso actualizado sobre el incidente de seguridad después de que un día antes aparecieran afirmaciones sobre una posible filtración de datos vinculados a los miembros del club. Según la publicación del club, la información actualmente disponible indica que el incidente no ocurrió directamente en los sitios web de GNK Dinamo. El club señala que los datos de tarjetas bancarias y las contraseñas no se vieron afectados, pero confirma que el incidente abarcó categorías limitadas de datos personales de una parte de los miembros. Dinamo comunicó que las personas afectadas no serán informadas solo mediante una publicación pública, sino también individualmente, por correo electrónico, si el incidente se refiere a sus datos. En el mismo comunicado, el club llama a la prudencia ante posibles mensajes falsos, especialmente en el período posterior a la información pública sobre el evento de seguridad.
El club contrató a expertos externos
Según el aviso actualizado de GNK Dinamo, tras recibir información sobre un posible incidente de seguridad se inició una investigación interna, y en el procedimiento se incluyó a expertos externos, independientes, de seguridad y de otros ámbitos. El club señala que el objetivo de la investigación es determinar las circunstancias del incidente, su alcance y las posibles consecuencias para los miembros cuyos datos se encuentran en los sistemas que utiliza Dinamo. En la publicación, Dinamo también se remitió a información recibida del encargado del tratamiento, afirmando que, según esa información, no existe peligro de otros incidentes del mismo tipo. Tal formulación indica que también se está comprobando el papel de sistemas externos o socios que procesan determinados datos en nombre del club, pero del aviso disponible públicamente no se desprende una descripción técnica detallada del ataque. El club añadió que se están adoptando medidas para reforzar la seguridad de todos los datos, sin mencionar medidas técnicas concretas.
Desde Dinamo destacan que el incidente, según la información existente hasta ahora, no abarcó a todos los miembros ni las mismas categorías de datos en cada persona. El club indicó que entre las categorías potencialmente afectadas pueden encontrarse el nombre, el apellido, el OIB, los datos de contacto y otros datos si algún miembro los dejó por su cuenta en el sistema. Esa diferencia es importante porque el riesgo para una persona no depende solo de si algún sistema fue afectado, sino también de qué tipo de dato estaba disponible, cuántos datos están vinculados a la misma persona y si esa combinación puede utilizarse para fraude o robo de identidad. Por eso Dinamo anuncia la notificación individual de aquellas personas a las que se refiere el incidente. Para preguntas e inquietudes relacionadas con los datos, el club indicó en el aviso el contacto de su delegado de protección de datos, la dirección dpo@gnkdinamo.hr.
Qué no fue afectado según la publicación del club
El mensaje más importante del aviso actualizado de Dinamo se refiere a los datos financieros y de acceso. El club indica expresamente que no fueron afectados los datos de tarjetas ni los datos de contraseñas. Esta información reduce de manera importante parte del riesgo inmediato que existiría en caso de compromiso de números de tarjeta, códigos de seguridad o credenciales de acceso a cuentas de usuario. Aun así, eso no significa que los datos personales que eventualmente hayan quedado incluidos en el incidente no puedan ser usados indebidamente. El nombre y el apellido, el OIB, la dirección de e-mail, el número de teléfono o la dirección de residencia pueden servir para mensajes falsos más convincentes, intentos de ingeniería social, suplantación de identidad o combinación con datos de otras fuentes.
Según informes mediáticos anteriores, la noticia sobre un posible ataque de hackers se difundió el 2 de junio de 2026, cuando se publicaron afirmaciones de que los datos de miembros de Dinamo habían sido comprometidos. Index escribió, en el contexto de esas afirmaciones, que en publicaciones vinculadas al ataque se mencionaban aproximadamente 50 mil registros, es decir 52.009 registros únicos, y que como firmantes del supuesto ataque se mencionaba a un grupo que se presenta como un grupo hacker serbio. Esas afirmaciones no fueron confirmadas en su totalidad por el aviso de Dinamo. En el comunicado actualizado, el club confirmó el alcance limitado del incidente y determinadas categorías de datos personales, pero no publicó el número definitivo de miembros afectados ni detalles técnicos sobre el origen del incidente. Por ello, en este momento lo más preciso es hablar de un incidente de seguridad de alcance limitado, con la nota de que los detalles siguen basándose en información disponible, no definitiva.
Por qué los miembros fueron advertidos especialmente sobre mensajes falsos
En la publicación, Dinamo aconsejó a los miembros prudencia ante e-mails sospechosos y falsos, el cambio regular de contraseñas y el uso de contraseñas suficientemente complejas. Tal advertencia es habitual después de incidentes en los que quizá se vieron afectados datos de contacto, porque los atacantes no tienen que tener una contraseña o datos de tarjetas para intentar un fraude. Les basta con disponer de datos personales creíbles para hacer que el mensaje sea más convincente. Por ejemplo, un mensaje falso puede parecer una notificación del club, una invitación a confirmar la membresía, una supuesta verificación de cuenta de usuario, una devolución de dinero, el pago de la cuota de socio o una actualización de datos de tarjeta. Si un mensaje de ese tipo se envía a una persona cuyos datos básicos son conocidos, la probabilidad de que el destinatario reaccione sin una comprobación adicional puede ser mayor.
La Agencia croata de Protección de Datos Personales, en sus consejos sobre ataques de phishing, advierte que ante mensajes sospechosos no se deben abrir enlaces ni introducir datos personales o de tarjetas si se solicita una acción que parece inusual. La Dirección de Policía, en materiales preventivos sobre fraudes en internet, señala que los estafadores intentan, mediante mensajes falsos de correo electrónico, SMS o llamadas telefónicas, inducir a los ciudadanos a compartir datos personales, financieros o de seguridad. En el contexto del aviso de Dinamo, esto significa que se debe prestar especial atención al remitente, a la dirección del enlace, a los errores gramaticales, a las solicitudes inusuales de pago urgente y a cualquier petición de introducir una contraseña o tarjeta en una página a la que se llega desde un mensaje. Si un mensaje genera sospecha, es más seguro abrir manualmente la página oficial del club o dirigirse al contacto oficial, en lugar de hacer clic en un enlace del e-mail.
Marco jurídico más amplio: cuándo se notifica a AZOP y a los interesados
Los incidentes de seguridad que incluyen datos personales en la Unión Europea se evalúan en el marco del Reglamento General de Protección de Datos, conocido como RGPD. AZOP señala que el responsable del tratamiento, en caso de una violación de datos personales, debe informar a la Agencia de Protección de Datos Personales sin dilación indebida y, si es viable, a más tardar en un plazo de 72 horas desde que tenga conocimiento de la violación, si es probable que la violación ocasione un riesgo para los derechos y libertades de las personas. AZOP también señala que, si es probable que la violación pueda ocasionar un alto riesgo para los interesados, el responsable del tratamiento debe informar también sin dilación indebida a las personas a las que se refieren los datos, con un lenguaje claro y sencillo. Las obligaciones en un caso concreto dependen de la evaluación del riesgo, la naturaleza de los datos afectados, el número de personas, las posibles consecuencias y las medidas de protección que se habían aplicado.
AZOP subraya en sus instrucciones que no todo incidente de seguridad es al mismo tiempo una violación de datos personales, pero todo incidente que incluya datos personales debe evaluarse sin demora. Una violación de datos personales, según AZOP, puede referirse a la confidencialidad, disponibilidad o integridad de los datos, por ejemplo en casos de acceso no autorizado, pérdida de un dispositivo, envío de datos a un destinatario equivocado o ataque de ransomware. En el caso de Dinamo, el club habla públicamente de un posible incidente de seguridad, de categorías limitadas de datos personales y de notificación individual a los miembros a los que se refiere el incidente. Del aviso público disponible no se desprende la calificación jurídica definitiva del incidente ni detalles sobre eventuales notificaciones al regulador, por lo que solo puede concluirse lo que el club indicó directamente: se ha iniciado una investigación, se han contratado expertos, y el público y los miembros afectados deben ser informados de los hechos relevantes.
El papel del encargado del tratamiento y la importancia de la transparencia
El aviso de Dinamo menciona información obtenida del encargado del tratamiento. AZOP, en sus explicaciones, señala que el responsable del tratamiento es la persona u organización que determina los fines y medios del tratamiento de datos personales, mientras que el encargado del tratamiento es el sujeto que trata datos personales en nombre del responsable del tratamiento. En la práctica, esto significa que las organizaciones a menudo utilizan sistemas externos para ventas, membresía, comunicación, cobro, soporte o gestión de cuentas de usuario. Tal modelo no es inusual, pero requiere una regulación contractual de las obligaciones y medidas técnicas y organizativas de protección adecuadas. Precisamente por eso, en incidentes de este tipo es importante determinar con precisión dónde se originó el incidente, quién tuvo acceso a los datos, qué datos estaban disponibles y qué medidas se deben adoptar para que un evento similar no se repita.
Según la política de privacidad oficial publicada en las páginas de Dinamo, el club figura como responsable del tratamiento, con dirección Maksimirska 128 en Zagreb y OIB 93376857458. En el mismo documento, Dinamo señala que recopila datos personales a través de sitios web, formularios, aplicaciones y ventas de productos, así como que entre los datos que pueden recopilarse en diferentes escenarios figuran el nombre, el apellido, la fecha de nacimiento, el e-mail, la dirección particular o de entrega y el número de teléfono. Esos datos son habituales en sistemas de membresía y venta por internet, pero al mismo tiempo muestran por qué la protección de esos sistemas debe ser un proceso constante, y no una medida técnica puntual. Para el público, en casos como este, es clave que los avisos sean lo suficientemente claros para que las personas afectadas puedan entender su propio riesgo y decidir qué pasos deben tomar.
Qué pueden hacer los miembros de inmediato
Aunque Dinamo señala que las contraseñas y los datos de tarjetas no fueron comprometidos, los miembros que hayan recibido un aviso o teman que podrían estar afectados por el incidente pueden tomar varias medidas de precaución proporcionales. La primera es comprobar todos los mensajes que supuestamente proceden del club, especialmente si solicitan una acción urgente, la introducción de una contraseña, la introducción de datos de tarjeta o la confirmación de datos personales mediante un enlace. La segunda es cambiar la contraseña de la cuenta de usuario si la misma contraseña o una similar existe también en otros servicios, porque la reutilización de contraseñas se considera uno de los riesgos de seguridad más frecuentes. La tercera es vigilar intentos de contacto inusual por e-mail, SMS o teléfono, especialmente si quien llama se refiere a la membresía, la compra de entradas o un supuesto procedimiento de seguridad. La cuarta es evitar el envío de documentos personales o del OIB a través de canales no verificados.
- Compruebe la dirección del remitente y no se fíe solo del nombre mostrado del remitente.
- No abra enlaces de mensajes que soliciten introducir una contraseña, una tarjeta o datos personales adicionales.
- Si necesita comprobar una cuenta o membresía, abra la página oficial escribiendo manualmente la dirección en el navegador.
- Cambie la contraseña si utilizó la misma contraseña en varios servicios, y evite combinaciones sencillas.
- Compare los mensajes sospechosos con las publicaciones oficiales del club o envíe una consulta al delegado de protección de datos.
Estas medidas no significan que cada miembro esté expuesto a una amenaza directa, sino que representan una precaución razonable después de un incidente en el que, según el club, pudieron verse afectadas determinadas categorías de datos personales. Es especialmente importante distinguir una notificación oficial de mensajes que intentan aprovechar la atención pública. Después de publicaciones sobre incidentes de seguridad, a menudo aparecen mensajes falsos que se apoyan en un evento real para parecer convincentes. Si en un mensaje se solicita un pago urgente, la introducción de una tarjeta, el envío de una copia de un documento o la confirmación de una contraseña, tal solicitud debe considerarse sospechosa hasta que se verifique por un canal oficial. Dinamo puso un énfasis especial precisamente en esa prudencia en su aviso.
Qué se desconoce aún
En este momento no se ha publicado el número definitivo de personas a las que se refiere el incidente. Dinamo indicó que las categorías de datos personales no están incluidas en relación con todos los miembros y que la notificación de los afectados se llevará a cabo también por e-mail. Tampoco se ha publicado una descripción técnica detallada del incidente, lo cual es una práctica frecuente mientras dura la investigación, porque la divulgación prematura de detalles técnicos puede dificultar la verificación, la subsanación o la cooperación con las autoridades competentes. Tampoco se ha confirmado oficialmente en qué medida son exactas las afirmaciones mediáticas sobre el número de registros y los supuestos autores. Por ahora se ha confirmado lo que indicó el club: según la información actualmente disponible, el incidente no afectó directamente a los sitios web de GNK Dinamo, no comprometió tarjetas ni contraseñas, pero sí abarcó categorías limitadas de datos personales de una parte de los miembros.
Para los miembros y el público, los siguientes pasos del club serán lo más importante. Eso incluye notificaciones individuales a las personas afectadas, explicaciones adicionales sobre las categorías de datos, la continuación del refuerzo de las medidas de seguridad y eventuales nuevas informaciones si la investigación las confirma. En los casos que incluyen datos personales, una comunicación oportuna y clara no es solo una cuestión reputacional, sino también una parte importante de la reducción del riesgo para las personas cuyos datos pudieron verse afectados. Cuanto más concretos sean los avisos, más fácil podrán evaluar los individuos si deben cambiar contraseñas, vigilar posibles fraudes, contactar con el delegado de protección de datos o solicitar información adicional. Dinamo comunica en el aviso actual que su prioridad es la protección de los datos de los miembros, la información transparente al público y la adopción de medidas de conformidad con las normas sobre protección de datos personales.
Fuentes:
- GNK Dinamo / X – aviso oficial actualizado del club sobre el incidente de seguridad y recomendaciones a los miembros (link)
- Index Sport – transmisión del comunicado actualizado de Dinamo y contexto de afirmaciones anteriores sobre el incidente (link)
- Index Sport – comunicado anterior de Dinamo del 2 de junio de 2026 sobre un posible incidente de seguridad (link)
- Sportske novosti / Jutarnji list – verificación mediática adicional de la publicación de Dinamo y resumen de la información establecida (link)
- GNK Dinamo – normas de privacidad, datos sobre el responsable del tratamiento y categorías de datos que procesa el club (link)
- Agencia croata de Protección de Datos Personales – instrucciones sobre la notificación de violaciones de datos personales y obligaciones conforme al RGPD (link)
- Agencia croata de Protección de Datos Personales – consejos para reconocer ataques de phishing y proteger los datos personales (link)
- Dirección de Policía – información preventiva sobre fraudes en internet, phishing, smishing y robo de identidad (link)