- Investigadores éticos accedieron al portal de Categorización de Pilotos de la FIA y elevaron permisos por un fallo de control de roles.
- Quedó expuesta información sensible (pasaportes, contacto, licencia, hash de contraseñas e intercambios internos), incluidos datos de Max Verstappen.
- El 3 de junio se desconectó el sitio y una solución permanente se aplicó a la semana; no se vieron afectadas otras plataformas de la FIA.
- La FIA informó a las autoridades de protección de datos, notificó a los implicados e impulsó medidas de seguridad y resiliencia digital.
La Federación Internacional de Automovilismo confirmó un incidente de ciberseguridad en su portal de Categorización de Pilotos durante el verano, tras detectarse acceso no autorizado a información alojada en ese sistema. Entre los datos que pudieron quedar al alcance figuraban documentos de pilotos de Fórmula 1 como Max Verstappen, lo que llevó al organismo a activar protocolos y a notificar a las autoridades competentes.
Los investigadores Ian Carroll, Gal Nagli y Sam Curry, especialistas en seguridad, detallaron que lograron demostrar una escalada de privilegios dentro de la plataforma; afirman que no abrieron ni conservaron archivos sensibles y que avisaron de inmediato a la FIA. El sitio se desconectó en cuestión de horas y una corrección integral se aplicó la semana siguiente, en línea con las exigencias europeas de protección de datos.
Qué ocurrió y por qué se pudo entrar
El punto débil residía en el portal de Categorización de Pilotos, una herramienta con la que la FIA gestiona estatus, superlicencias y clasificaciones para diferentes campeonatos. Según los investigadores, tras crear una cuenta de usuario común detectaron un fallo de control de roles que hacía posible elevar permisos y acceder a áreas internas, sin necesidad de técnicas avanzadas ni explotación prolongada.
Una vez producida la escalada, la interfaz del sistema cambió a un panel de administración con herramientas internas de gestión. En ese entorno aparecían solicitudes, documentos cargados, comentarios del personal y opciones de tratamiento de expedientes, evidenciando una brecha de control de accesos que no debería darse en un entorno de alto impacto como el de la FIA.
Qué información quedó expuesta
En ese repositorio figuran miles de fichas de pilotos de múltiples disciplinas (se estima que el portal reúne casi 7.000 registros). Esto no implica que todos fueran consultados durante el incidente; los expertos se limitaron a verificar que era posible acceder a perfiles concretos —como el de Max Verstappen— y cortaron el proceso para minimizar riesgos.
Cronología y alcance del incidente
El 3 de junio los investigadores reportaron la vulnerabilidad y, ese mismo día, la FIA desconectó el sitio afectado como medida de contención. Una solución permanente se implementó a la semana siguiente, con el portal ya auditado y reforzado antes de volver a operar.
De acuerdo con el organismo, ninguna otra plataforma digital de su ecosistema se vio comprometida. Además, la FIA indicó que notificó al número limitado de personas potencialmente impactadas directamente por el incidente, en línea con los criterios que fijan las normas de notificación.
Respuesta oficial y marco europeo
En su comunicado, la FIA señaló que adoptó medidas inmediatas para proteger los datos, informó del caso a las autoridades de protección de datos competentes y ha reforzado su enfoque de “seguridad desde el diseño” en nuevas iniciativas digitales. El organismo insiste en que ha invertido de forma amplia en ciberseguridad y resiliencia a lo largo de su patrimonio digital.
En Europa, el cumplimiento del marco regulatorio (como el RGPD) exige notificar brechas relevantes y documentar las actuaciones de mitigación. La FIA asegura haber seguido estos pasos, además de colaborar con los investigadores para cerrar la brecha y reducir cualquier posibilidad de abuso posterior.
Implicaciones para la F1 y el automovilismo
El episodio pone el foco en la gestión de credenciales, la segregación de funciones y el control de accesos en plataformas que custodian documentación sensible de equipos y pilotos en Europa. No es poca cosa: una mala configuración puede abrir la puerta a consultas indebidas y a riesgos reputacionales para los implicados.
Para las estructuras deportivas y federativas, la enseñanza pasa por reforzar auditorías, aplicar principio de mínimo privilegio y revisar continuamente los flujos de altas, bajas y cambios de rol. Sobre el papel, el incidente de la FIA muestra que una brecha puntual puede comprometer información de alto valor si no se ataja a tiempo.
El caso deja una lección clara: con la colaboración de investigadores y una reacción rápida, la exposición se limita; pero la prevención —gobernanza de datos, pruebas de penetración y seguridad por diseño— debe convertirse en rutina para que un fallo de autorización no vuelva a poner en jaque a la cúspide del automovilismo.
