La empresa reunió datos sin protección, y solo nos enteramos cuando fue demasiado tarde
El grupo ciberdelincuente ShinyHunters afirmó haber accedido a sistemas internos y sustraído 42-45 gigabytes de información, incluyendo datos biométricos recopilados desde 2018. El 84% de organizaciones deportivas en EE.UU., Reino Unido, Australia y Alemania reportó sufrir incidentes cibernéticos en el último año, según informe de Darktrace.
- 26 millones de personas potencialmente afectadas por la filtración de datos biométricos
- El grupo ShinyHunters afirmó haber extraído 42-45 gigabytes de información desde sistemas internos
- Datos biométricos recopilados mediante reconocimiento facial desde 2018
- El 84% de organizaciones deportivas en EE.UU., Reino Unido, Australia y Alemania sufrió incidentes cibernéticos en el último año
- Cinco demandas federales presentadas en Nueva York contra Madison Square Garden Entertainment
Madison Square Garden enfrenta una demanda colectiva por la presunta filtración de datos biométricos y personales de 26 millones de personas tras un hackeo atribuido al grupo ShinyHunters, reabriendo debates sobre reconocimiento facial en recintos deportivos.
Una demanda colectiva presentada esta semana en un tribunal federal de Nueva York acusa a Madison Square Garden Entertainment de negligencia masiva en la protección de datos. El caso surge después de que un grupo de ciberdelincuentes llamado ShinyHunters afirmara haber penetrado los sistemas internos de la empresa y extraído entre 42 y 45 gigabytes de información sensible, potencialmente comprometiendo registros de hasta 26 millones de personas que visitaron las instalaciones de la compañía.
Lo que hace este incidente particularmente grave es la naturaleza de los datos expuestos. Entre los archivos presuntamente robados figuran registros biométricos capturados a través de sistemas de reconocimiento facial que el estadio ha utilizado desde 2018, junto con números de Seguro Social, historiales de verificación de antecedentes, calificaciones crediticias y evaluaciones internas de riesgo sobre asistentes y celebridades. El demandante principal, Carlos Avalo, asistió a un concierto en septiembre de 2025 y cree que sus datos fueron incluidos en la filtración, aunque la empresa aún no lo ha notificado oficialmente. Avalo expresó temor por un posible uso indebido de su información personal.
Esta no es una demanda aislada. Desde que se conoció la supuesta intrusión, se han presentado otras cuatro demandas colectivas similares, sumando un total de cinco procesos federales vinculados con el mismo incidente. Los demandantes sostienen que Madison Square Garden Entertainment recopiló y almacenó datos sensibles sin adoptar medidas suficientes para protegerlos, y que la respuesta de la compañía después de que trascendiera el ataque fue insuficiente. Los abogados del caso subrayan que la empresa mantuvo estas prácticas a pesar de antecedentes previos de incidentes de ciberseguridad.
El caso llega en un momento en que la industria deportiva enfrenta una crisis de seguridad informática sin precedentes. Un informe reciente de Darktrace, una empresa especializada en ciberseguridad, reveló que el 84% de las organizaciones deportivas en Estados Unidos, Reino Unido, Australia y Alemania sufrió al menos un incidente cibernético en el último año. Los ataques no se limitan a interrupciones de eventos, sino que se extienden a sistemas operacionales y plataformas digitales que afectan directamente la experiencia de los asistentes.
La demanda recupera una controversia anterior sobre las prácticas tecnológicas del Madison Square Garden. En 2023, el uso de reconocimiento facial en el recinto fue cuestionado públicamente por defensores de la privacidad y por autoridades estatales, incluida la fiscal general de Nueva York, Letitia James. La oficina de James envió una carta a la empresa expresando preocupaciones de que la política de negar acceso a personas con entradas válidas podría violar normas de derechos civiles y derechos humanos del estado. Las críticas se intensificaron cuando se supo que Madison Square Garden utilizó el sistema de reconocimiento facial para identificar y expulsar de eventos a abogados vinculados con estudios jurídicos que mantenían litigios activos contra la compañía.
Entre los datos que circulan en internet y citados en la demanda aparecen evaluaciones internas de riesgo sobre celebridades y asistentes frecuentes. El documento menciona que el actor Ben Stiller, conocido aficionado de los Knicks, fue catalogado como de "bajo riesgo", mientras que el rapero A Boogie wit da Hoodie aparecía clasificado como de "alto riesgo". Estos detalles subrayan el alcance invasivo de la recopilación de datos que la empresa realizaba.
Los demandantes reclaman una compensación mínima de 5 millones de dólares, aunque el monto final podría ser significativamente mayor considerando el número potencial de afectados. Según reportes, el presunto hackeo amenaza con convertirse en uno de los mayores episodios de exposición de datos asociado a una instalación deportiva en Estados Unidos. La organización de defensa de derechos digitales Fight for the Future ha señalado que parte del material atribuido al ataque incluyó archivos internos vinculados con el sistema de reconocimiento facial y con el seguimiento de críticos de esa política.
Mientras avanzan los procesos judicales, el caso abre interrogantes fundamentales sobre el alcance de los datos que una empresa privada puede recopilar sobre asistentes y su capacidad real de protegerlos cuando quedan almacenados en sistemas internos. La demanda no solo cuestiona la negligencia en la seguridad, sino también la legitimidad misma de recopilar y mantener tanta información biométrica y personal sobre millones de personas.
Citações Notáveis
La empresa mantuvo estas prácticas de recopilación de datos a pesar de antecedentes previos de incidentes de ciberseguridad— Abogados de los demandantes en el caso Avalo v. MSG Entertainment
La política de negar el ingreso a personas con entradas válidas podría implicar tensiones con normas de derechos civiles y de derechos humanos del estado— Letitia James, fiscal general de Nueva York, en carta a Madison Square Garden Entertainment
A Conversa do Hearth Outra perspectiva sobre a história
¿Por qué este caso es diferente de otras filtraciones de datos que hemos visto?
Porque combina dos cosas que generan pánico real: el volumen masivo —26 millones de personas— y el tipo de datos. No es solo información de contacto. Es biometría, números de Seguro Social, evaluaciones de riesgo. Es información que no se puede cambiar como una contraseña.
¿Y el reconocimiento facial? ¿Eso es lo que realmente molesta a la gente?
Es parte de ello. El reconocimiento facial ya era controversial porque Madison Square Garden lo usó para expulsar abogados que los demandaban. Entonces cuando sale a la luz que esos mismos datos fueron robados, la gente ve una conexión: primero te vigilan, luego te controlan, ahora tus datos están en manos de criminales.
¿Cuánto tiempo llevan recopilando esta información?
Desde 2018. Ocho años. Y nadie lo sabía realmente hasta que los datos fueron robados. Eso es lo que enfurece a los demandantes: la empresa reunió toda esa información sin consentimiento explícito, sin protección adecuada, y solo nos enteramos cuando fue demasiado tarde.
¿Esto es un problema solo de Madison Square Garden o es más amplio?
Mucho más amplio. El 84% de las organizaciones deportivas en cuatro países reportó ataques cibernéticos en el último año. Madison Square Garden es solo el caso más visible porque es grande y porque el reconocimiento facial ya era un escándalo. Pero hay cientos de estadios, arenas, recintos haciendo lo mismo.
¿Qué pasa ahora con esos 26 millones de personas?
Esperan. Hay cinco demandas federales en marcha. Los demandantes piden 5 millones de dólares mínimo, pero ese número podría multiplicarse. Mientras tanto, esas personas viven con la incertidumbre de saber que sus datos biométricos están en la red oscura, disponibles para cualquiera que quiera usarlos.