La Policía Nacional de Países Bajos ha detenido a un hombre de 35 años sospechoso de estar relacionado con el ciberataque sufrido por el Ajax de Ámsterdam a principios de 2026. La investigación apunta a que el detenido habría accedido de forma ilegal en varias ocasiones a los sistemas informáticos del histórico club neerlandés, comprometiendo datos de aficionados y modificando determinados servicios internos vinculados a entradas y sanciones.
El arresto se produjo en el municipio de Buren y forma parte de una investigación iniciada después de que el club detectara accesos no autorizados a sus plataformas digitales. Según las autoridades neerlandesas, el sospechoso logró infiltrarse deliberadamente en la infraestructura informática del Ajax aprovechando vulnerabilidades de seguridad existentes en el sistema.
El incidente ha vuelto a evidenciar cómo el sector deportivo se ha convertido en uno de los nuevos objetivos para ciberdelincuentes, especialmente por el elevado volumen de datos personales y financieros que manejan los clubes profesionales.
El ataque afectó a cientos de aficionados
El Ajax reconoció públicamente el incidente a finales de marzo, cuando confirmó que el atacante había conseguido acceder a información perteneciente a varios cientos de personas.
Las primeras investigaciones revelaron además que la brecha de seguridad permitía modificar determinadas restricciones internas relacionadas con aficionados sancionados y transferir entradas adquiridas a otros usuarios.
Sin embargo, el alcance real del problema podría haber sido mucho mayor. Medios neerlandeses como RTL señalaron que la vulnerabilidad explotada facilitaba el acceso masivo a datos de aficionados mediante APIs y claves compartidas insuficientemente protegidas.
El atacante llegó incluso a demostrar cómo podía reasignar un abono VIP en apenas segundos aprovechando los fallos de seguridad detectados en el sistema del club.
Más de 300.000 cuentas quedaron expuestas
Uno de los aspectos que más preocupación ha generado entre expertos en ciberseguridad es la magnitud potencial del acceso conseguido por el atacante.
Según la información difundida durante la investigación, el sistema comprometido permitía consultar datos asociados a más de 300.000 cuentas de aficionados. Además, el hacker habría tenido capacidad para manipular hasta 538 prohibiciones de acceso al estadio y acceder a información vinculada a unos 42.000 abonos de temporada.
El caso ha provocado un fuerte impacto para el Ajax, considerado uno de los clubes deportivos más importantes de Europa y con millones de seguidores repartidos por todo el mundo.
Tras descubrir la intrusión, la entidad deportiva corrigió las vulnerabilidades detectadas y notificó oficialmente el incidente tanto a la Autoridad de Protección de Datos neerlandesa como a las fuerzas de seguridad.
El deporte se convierte en un objetivo prioritario para los hackers
Los expertos llevan años advirtiendo de que las organizaciones deportivas manejan enormes volúmenes de información sensible y, en muchos casos, cuentan con sistemas de protección menos avanzados que otros sectores estratégicos.
Entradas digitales, pagos online, plataformas de socios, sistemas biométricos o aplicaciones móviles convierten a los clubes en objetivos muy atractivos para grupos criminales y ciberdelincuentes especializados.
Además del impacto económico, este tipo de ataques puede afectar gravemente a la reputación de las entidades y provocar problemas legales relacionados con la protección de datos personales.
En los últimos años, varios clubes europeos y organismos deportivos internacionales han sufrido incidentes similares, especialmente relacionados con robo de credenciales, secuestro de datos o filtraciones masivas de información de aficionados.
Países Bajos intensifica la lucha contra el cibercrimen
La detención relacionada con el Ajax se produce en un contexto de creciente actividad policial contra delitos tecnológicos en Países Bajos.
Durante septiembre de 2025, la Policía Nacional neerlandesa arrestó a dos adolescentes sospechosos de realizar labores de espionaje para Rusia utilizando dispositivos de detección wifi cerca de instalaciones vinculadas a Europol, Eurojust y la embajada canadiense.
Más recientemente, investigadores de delitos financieros holandeses también llevaron a cabo una importante operación contra una empresa de alojamiento web presuntamente utilizada para facilitar campañas de ciberataques, interferencia digital y desinformación.
En aquella intervención se incautaron alrededor de 800 servidores relacionados con actividades ilícitas.
Las empresas refuerzan la vigilancia ante el aumento de ataques
El caso del Ajax es la enésima prueba de taques dirigidos contra organizaciones con gran volumen de usuarios y servicios digitales expuestos a internet.
Los especialistas en ciberseguridad insisten en que muchas brechas siguen produciéndose por errores básicos de configuración, reutilización de credenciales o sistemas sin actualizar.
La utilización de APIs compartidas, accesos internos mal protegidos y plataformas conectadas entre sí multiplica los riesgos para empresas, administraciones y organizaciones deportivas.
