Dinamo advirtió a sus miembros tras un incidente de seguridad sobre mensajes falsos: las tarjetas y las contraseñas, según el club, no fueron comprometidas
GNK Dinamo publicó el 3 de junio de 2026 un aviso actualizado sobre un incidente de seguridad relacionado con los datos de una parte de sus miembros y comunicó que, según la información actualmente disponible, el incidente no afectó directamente a las páginas web oficiales del club. El club afirma que no se comprometieron los datos de tarjetas ni las contraseñas, pero confirma que el incidente incluyó categorías limitadas de datos personales de una parte de los miembros. Entre los datos mencionados figuran el nombre, el apellido, el OIB, los datos de contacto y otros datos si algún miembro los dejó por su cuenta en el sistema. Desde Maksimir señalan que, tras recibir la notificación sobre un posible incidente, iniciaron una investigación interna, contrataron a expertos externos independientes en seguridad y a otros especialistas, y comenzaron a reforzar adicionalmente la protección de los datos.
El aviso actualizado llegó un día después de que el club informara por primera vez a sus miembros de que había recibido información sobre un posible incidente de seguridad. En esa primera publicación, Dinamo indicó que se estaba determinando el alcance exacto del suceso, las categorías de datos potencialmente afectadas y el número de miembros a los que el incidente podría referirse. En el nuevo aviso, el club aporta más detalles, pero sigue utilizando formulaciones que indican que la investigación y la evaluación de las consecuencias no están completamente terminadas. Según la publicación de GNK Dinamo, los miembros afectados también serán informados por correo electrónico, y para preguntas sobre los datos o posibles preocupaciones, el club remite al delegado de protección de datos.
Qué ha confirmado oficialmente el club hasta ahora
Según el aviso actualizado de GNK Dinamo, tras recibir la información sobre un posible incidente, el club inició una investigación interna y contrató a expertos externos para determinar las circunstancias del suceso. Dinamo señala que, según la información actualmente disponible, el incidente no se produjo directamente en sus páginas web. El club también destaca que el alcance del incidente es limitado y que, según la información de la que dispone por parte del encargado del tratamiento, no existe peligro de otros incidentes del mismo tipo. Tal formulación significa que el club basa parte de la información también en datos que recibió de un tercero implicado en el tratamiento de datos, y no solo en su propia comprobación interna.
El mensaje más importante para los miembros se refiere a los tipos de datos que el club afirma que no fueron afectados. Dinamo anunció explícitamente que no se comprometieron los datos de tarjetas ni los datos de contraseñas. Esto es importante porque precisamente los datos de pago y las contraseñas de acceso en incidentes similares pueden abrir espacio para daños financieros directos o entrada no autorizada en cuentas de usuario. El club, sin embargo, no afirma que el incidente no haya afectado a ningún dato personal. Al contrario, en el aviso indica que se han incluido categorías limitadas de datos personales, que varían según el miembro.
En el comunicado oficial se mencionan el nombre, el apellido, el OIB, el contacto y otros datos que el miembro eventualmente hubiera dejado por su cuenta en el sistema. Dinamo subraya al mismo tiempo que las categorías indicadas no afectaron a todos los miembros. Esto significa que el alcance no se describe como un conjunto único de datos para toda la base, sino como un incidente que puede tener consecuencias diferentes para distintas personas. Precisamente por eso es importante que los avisos que los miembros puedan recibir por correo electrónico se lean con atención, pero también que se compruebe si realmente fueron enviados desde una dirección fiable del club.
Por qué los datos personales como el OIB y el contacto requieren cautela
Aunque Dinamo afirma que las contraseñas y los datos de tarjetas no fueron comprometidos, datos como el nombre, el apellido, el OIB, la dirección de correo electrónico, el número de teléfono u otra información de contacto pueden ser sensibles. El OIB es un número de identificación único y, en combinación con otros datos, puede ser utilizado indebidamente en intentos de fraude, suplantación de identidad o mensajes dirigidos que parezcan más convincentes que el spam habitual. Los datos de contacto por sí solos no significan que se haya producido un daño financiero, pero pueden facilitar a los atacantes convencer a las personas de que se están comunicando con una organización conocida. Por eso la advertencia sobre mensajes falsos no se refiere solo a la higiene informática, sino también al riesgo real de intentos posteriores de explotar los datos disponibles.
El club advierte directamente a los miembros en el aviso que tengan cuidado con los correos electrónicos sospechosos y falsos, que protejan sus contraseñas, las cambien regularmente y tengan en cuenta su complejidad. Tal recomendación es especialmente importante si los usuarios emplean la misma contraseña en varios servicios de internet diferentes. Aunque Dinamo indica que las contraseñas no se vieron afectadas por este incidente, cambiar la contraseña puede ser una medida de precaución razonable si se trata de una contraseña antigua, débil o utilizada varias veces. Aún más importante es no introducir la contraseña, los datos de la tarjeta u otros datos personales en páginas a las que se llega mediante enlaces de mensajes sospechosos.
Según las explicaciones del CERT nacional, el phishing se basa en la manipulación de los usuarios con el objetivo de recopilar datos confidenciales, incluidos nombres de usuario, contraseñas y datos de tarjetas de crédito. La policía también describe el phishing como robo de identidad en línea en el que, mediante correos electrónicos falsos, se intenta inducir a los usuarios a compartir datos personales, financieros o de seguridad. En la práctica, esto significa que después de un incidente como este podrían aparecer mensajes que se presentan falsamente como avisos del club, solicitudes de confirmación de datos, llamadas a cambiar la contraseña o avisos sobre supuestos problemas con la membresía. Las señales clave para la cautela son una dirección de remitente inusual, presión para reaccionar con urgencia, errores gramaticales, archivos adjuntos inesperados y enlaces que no conducen al dominio oficial.
Obligaciones según las normas de protección de datos personales
El incidente también debe observarse dentro del marco del Reglamento General de Protección de Datos, conocido como RGPD, porque se trata de una posible afectación a datos personales de personas físicas. Según la información de la Agencia de Protección de Datos Personales, el responsable del tratamiento está obligado, sin dilación indebida y, si es factible, a más tardar en un plazo de 72 horas desde que tenga conocimiento de la violación, a informar a la autoridad de control, salvo que no sea probable que la violación ocasione un riesgo para los derechos y libertades de las personas. El RGPD prescribe además que las personas sean informadas sin dilación indebida si es probable que la violación de datos personales ocasione un alto riesgo para sus derechos y libertades. La evaluación de tal riesgo depende del tipo de datos, el alcance del incidente, la posibilidad de abuso y las medidas adoptadas tras su descubrimiento.
Dinamo señala en sus avisos oficiales que las prioridades del club son la protección de los miembros, la información transparente al público y la adopción de las medidas necesarias de conformidad con las normas sobre protección de datos personales. El club no indicó en la publicación todos los detalles técnicos del incidente, lo cual es habitual en la fase inicial de las comprobaciones de seguridad, porque la exposición pública de demasiados detalles puede dificultar la investigación o abrir espacio para abusos adicionales. Al mismo tiempo, para las personas cuyos datos pudieron haber sido incluidos, es importante recibir información suficientemente clara sobre qué datos fueron afectados, cuál es el riesgo y qué pasos deben tomar. Precisamente por eso, la anunciada notificación individual a los miembros afectados por correo electrónico es una parte significativa de la actuación posterior.
En tales casos no es decisiva solo la cuestión de si el sistema fue atacado técnicamente, sino también si hubo acceso no autorizado, divulgación o pérdida de control sobre los datos personales. Dinamo afirma que el incidente no se produjo directamente en las páginas web del club, pero al mismo tiempo confirma que determinadas categorías de datos de una parte de los miembros fueron incluidas. Esto apunta a la posibilidad de que el incidente esté relacionado con el tratamiento o almacenamiento de datos en un entorno digital más amplio, incluidos proveedores externos de servicios, aunque el club no publicó detalles que permitieran una conclusión firme sobre la causa técnica. Hasta que la investigación esté terminada, lo más preciso es hablar de un incidente de seguridad de alcance limitado, tal como lo describe el propio club.
Las afirmaciones de los medios y la información oficialmente confirmada deben distinguirse
Antes del aviso actualizado de Dinamo aparecieron en público informes de medios sobre afirmaciones de que una parte de los datos supuestamente fue ofrecida o mencionada en un entorno relacionado con la dark web. Tportal, por ejemplo, informó sobre alegaciones de que en una publicación se mencionaba una base de datos comprometida y un grupo de hackers que se presenta como INF Grupa. Tales informaciones deben tratarse con cautela porque se basan en supuestas afirmaciones de terceros y no son lo mismo que una confirmación oficial del club o del organismo competente. En el aviso oficial, Dinamo no nombró a los presuntos autores, no confirmó el número de registros afectados y no anunció que los datos de tarjetas o las contraseñas hubieran sido comprometidos.
Distinguir la información oficialmente confirmada de las afirmaciones que circulan por internet es importante para evitar el pánico, pero también para proteger a los miembros de fraudes adicionales. En los incidentes cibernéticos, los atacantes o las personas que se presentan como atacantes a menudo utilizan la atención pública para aumentar la presión sobre la organización o impulsar a los usuarios a reacciones precipitadas. Por ello, el enfoque más fiable es basarse en los comunicados oficiales del club, los avisos de las autoridades competentes y las recomendaciones de seguridad verificadas. Si un miembro recibe un mensaje que se refiere al incidente y solicita introducir una contraseña, datos de tarjeta u OIB mediante un enlace, tal solicitud debe considerarse sospechosa hasta que se verifique directamente a través de los canales oficiales.
Dinamo indicó en el primer aviso del 2 de junio que informaría sin demora a los miembros y al público tan pronto como estuviera disponible información confirmada sobre el alcance del incidente y las posibles categorías de datos afectadas. El aviso actualizado del 3 de junio representa la continuación de ese proceso, pero no tiene por qué ser la última información sobre el suceso. Si la investigación determina nuevos hechos, el club, según sus propios anuncios y las normas sobre protección de datos personales, debería seguir informando a aquellos a quienes se refiere el incidente. Para el público es clave que cada nueva afirmación esté claramente separada de lo que ya ha sido confirmado.
Qué pueden hacer los miembros de inmediato
Los miembros que utilizaron servicios digitales vinculados con el club deberían primero seguir los comunicados oficiales de GNK Dinamo y prestar atención a una eventual notificación individual que podría llegar por correo electrónico. Tal mensaje debe comprobarse cuidadosamente: el remitente debe ser fiable, los enlaces no deben abrirse automáticamente y las solicitudes de introducción de contraseña, datos de tarjeta o datos personales adicionales deben provocar especial cautela. Es más seguro abrir manualmente la página web oficial del club o dirigirse al delegado de protección de datos en la dirección indicada por el club en su aviso. Si el mensaje parece sospechoso, no se debe responder ni abrir archivos adjuntos.
Es recomendable cambiar la contraseña de la cuenta de usuario si se utiliza una contraseña antigua o débil, especialmente si la misma contraseña se usó en otros servicios. Una buena contraseña debería ser larga, única y difícil de adivinar, y donde sea posible se debe activar la autenticación multifactor. Si un usuario recibe un mensaje que solicita un pago urgente, la confirmación de la tarjeta o la reintroducción de datos personales, debe verificar la solicitud por otro canal antes de cualquier acción. El CERT y la policía, en sus recomendaciones generales, advierten que el objetivo de los mensajes de phishing es inducir al usuario a entregar datos o hacer clic en un enlace malicioso, por lo que una verificación tranquila es la mejor protección.
También se necesita cautela en las próximas semanas, porque los intentos de fraude no tienen por qué aparecer inmediatamente después del incidente. Si los datos de contacto de alguien se vieron afectados, los mensajes falsos pueden aparecer posteriormente y pueden referirse a la membresía, entradas, beneficios, sorteos o una supuesta comprobación de seguridad. Debe evitarse especialmente compartir fotografías de documentos personales, datos de tarjetas o códigos de un solo uso para confirmar transacciones. En caso de sospecha de abuso de datos financieros, es necesario contactar inmediatamente con el banco, y en caso de fraude o intento de fraude se puede informar a la policía y a los servicios relevantes de ciberseguridad.
La confianza digital se convierte en parte de la responsabilidad de las organizaciones deportivas
El incidente de seguridad en Dinamo muestra hasta qué punto los clubes deportivos se han convertido en organizaciones digitales. Membresías, entradas, tiendas en línea, boletines, aplicaciones y comunicación con los aficionados se apoyan en bases de datos y sistemas tecnológicos externos. Tal modelo aporta una comunicación más rápida y servicios más sencillos, pero también aumenta la responsabilidad por la protección de los datos personales. En la opinión pública, las organizaciones deportivas a menudo se observan a través de resultados, fichajes y partidos, pero su infraestructura digital es una parte cada vez más importante de la confianza entre el club y sus miembros.
Para Dinamo, el curso posterior del caso dependerá de los resultados de la investigación, de posibles avisos adicionales y de las medidas que el club implementará para reducir el riesgo de repetición de eventos similares. El club ya anunció que se están llevando a cabo acciones para reforzar adicionalmente la seguridad de todos los datos, pero no detalló qué medidas técnicas y organizativas se implementarán. En esta fase, lo más importante es que los miembros no entren en pánico, pero que actúen con cautela, especialmente ante mensajes que soliciten una reacción rápida o la introducción de datos sensibles. Según la información oficial disponible del 04 de junio de 2026, se ha confirmado que el incidente tiene un alcance limitado, que continúa la notificación a los miembros afectados y que el club afirma que los datos de tarjetas y contraseñas no fueron comprometidos.
Fuentes:
- GNK Dinamo – aviso oficial actualizado sobre el incidente de seguridad y las categorías de datos que pudieron haber sido incluidas (enlace)
- GNK Dinamo – primer aviso a los miembros sobre un posible incidente de seguridad y el inicio del procedimiento interno (enlace)
- Agencia de Protección de Datos Personales – información sobre la notificación de una violación de datos personales y el plazo de 72 horas (enlace)
- EUR-Lex – texto del Reglamento General de Protección de Datos, incluidas las normas sobre violaciones de datos personales (enlace)
- CERT Nacional – explicación del phishing y de la forma en que se intenta recopilar datos confidenciales (enlace)
- Dirección General de la Policía – explicaciones sobre fraudes en internet y mensajes de phishing (enlace)
- Tportal – informe mediático sobre las alegaciones que precedieron a los avisos oficiales del club (enlace)