La policía neerlandesa ha arrestado a un hombre de 35 años sospechoso de hackear los sistemas digitales del AFC Ajax y de exponer fallos de seguridad que podrían afectar a cientos de miles de aficionados al fútbol.
Las autoridades arrestaron al sospechoso la mañana del martes en el municipio de Buren tras una investigación sobre acceso no autorizado a sistemas Ajax a principios de este año. Los investigadores afirman que el hombre entró ilegalmente en la infraestructura del club varias veces a principios de 2026 sin permiso.
El caso salió a la luz pública en marzo después de que los medios neerlandeses RTL Nieuws y BNR informaran de importantes debilidades de seguridad que afectaban a la aplicación y a los sistemas de tickets de Ajax. Según esos informes, las vulnerabilidades podrían haber expuesto datos privados pertenecientes a más de 300.000 seguidores registrados de Ajax.
Los investigadores dijeron que el atacante accedió a información relacionada con más de 42.000 abonos de temporada. Los fallos supuestamente permitieron transferir tickets a otras cuentas o desactivarlos completamente sin autorización. Las vulnerabilidades también expusieron detalles vinculados a 538 personas sujetas a prohibiciones de estadio, con informes que sugieren que dichas prohibiciones podrían haber sido modificadas o eliminadas.
Ajax confirmó la brecha en marzo y afirmó que se produjeron accesos no autorizados en partes de sus sistemas. El club informó que se incorporó inmediatamente a expertos externos en ciberseguridad para investigar el incidente, parchear vulnerabilidades y reforzar las protecciones de seguridad. Ajax también notificó a la Autoridad Holandesa de Protección de Datos y presentó una denuncia ante la policía.
El sospechoso alegó que sus acciones constituyeron una divulgación responsable tras informar a los periodistas sobre las vulnerabilidades de seguridad. Sin embargo, las autoridades holandesas argumentan que esta conducta no califica como hacking ético porque los sistemas fueron accedidos repetidamente sin autorización y las vulnerabilidades no se revelaron previamente de forma privada a Ajax.
Según las directrices holandesas de divulgación responsable, generalmente se espera que los hackers éticos informen de vulnerabilidades directamente a las organizaciones afectadas sin explotar sistemas más allá de lo necesario para demostrar el problema. Los fiscales afirman que el Ajax solo tomó conciencia del alcance de las vulnerabilidades después de que surgiera la cobertura mediática.
La policía confiscó ordenadores, discos duros y otros dispositivos de almacenamiento digital durante un registro en la casa del sospechoso como parte de la investigación en curso. Las autoridades están examinando ahora si se copió, distribuyó o utilizó algún dato robado más allá de demostrar las vulnerabilidades.
Ajax afirmó que, según los hallazgos actuales, solo se confirmó que se accedió a una cantidad limitada de datos personales, incluyendo direcciones de correo electrónico pertenecientes a varios cientos de personas y nombres y fechas de nacimiento vinculados a menos de 20 personas con prohibiciones de estadio. El club afirmó que actualmente no hay pruebas de que los datos se hayan distribuido más adelante.