Ninguna empresa quiere arriesgarse en materia de ciberseguridad. Irónicamente, esto es especialmente cierto en la industria del juego y las apuestas.
Este es un sector que está en auge. Para 2030, se espera que el mercado mundial de juegos de azar en línea casi se duplique a alrededor de $154 mil millones, creciendo a una tasa de alrededor del 12% anual. Para los operadores, esta es una buena noticia. Sin embargo, ese crecimiento está atrayendo la atención de los ciberdelincuentes.
Director de Producto, ISMS.online.
Entre 2022 y 2024, el fraude en iGaming aumentará en una media del 64% anual. Y recientemente, varios acontecimientos importantes han aparecido en los titulares.
En julio de 2025, Flutter Entertainment (la empresa matriz de Paddy Power, Betfair, Sky Betting & Gaming, PokerStars y otras marcas), confirmó que había sufrido una violación de datos que afectaba a 800.000 clientes.
Más recientemente, en febrero de 2026, el operador de casinos Wynn Resorts confirmó que había sufrido un ciberataque por parte del grupo de hackers ShinyHunters, que afirmó haber robado más de 800.000 registros, incluidos datos de empleados e información de identificación personal.
Amenazas crecientes a los datos, las operaciones, la reputación y la cadena de suministro
Las organizaciones de juegos y apuestas se han convertido en objetivos cada vez más atractivos para los actores de amenazas por diversas razones. Se trata de empresas que tienen una amplia huella digital y poseen grandes cantidades de información financiera y personal.
Para los actores del sector, el uso de datos es crucial: permite el rediseño y la personalización para comprender mejor el comportamiento de los jugadores, impulsar inversiones estratégicas y estrategias de contenido, y hacer que los juegos sean más atractivos.
Sin embargo, para los ciberdelincuentes que buscan ganancias financieras o simplemente lanzan ataques maliciosos contra empresas y sus jugadores, esto crea un terreno fértil para causar estragos.
Con tantos datos de transacciones, información personal e información de pago en juego, cualquier violación puede ser devastadora. Los actores de amenazas también saben que las empresas de juegos y apuestas suelen operar las 24 horas del día, lo que hace que el tiempo de inactividad sea desproporcionadamente costoso.
Para los actores de la industria, el tiempo de actividad es la piedra angular de la generación de ingresos. Muchas plataformas atienden a los jugadores las 24 horas del día, los 7 días de la semana, e incluso los problemas menores en la experiencia del usuario o las interrupciones causadas por ataques pueden convertir rápidamente a los usuarios en competidores.
Estas presiones se ven amplificadas por la naturaleza en tiempo real de las transacciones de la industria del juego. Las apuestas deben aceptarse y liquidarse inmediatamente. Si no es así, los jugadores casi siempre buscarán en otra parte en una industria donde la lealtad del cliente puede ser escasa y abundan las alternativas.
Para los actores de amenazas, la oportunidad de infligir el máximo daño a sus objetivos es clara. Cualquier tiempo de inactividad o interrupción resulta rápidamente en pérdida de ingresos y erosiona la confianza del cliente, lo que facilita arrinconar a las empresas en caso de una filtración de datos o ransomware.
Al mismo tiempo, también existen desafíos crecientes derivados de cadenas de suministro cada vez más interconectadas. Detrás de la pulida UX de una plataforma de juegos hay una red compleja de proveedores externos, proveedores de datos, soluciones de software, procesadores de pagos, servicios de verificación de identidad, plataformas en la nube, generadores de probabilidades y más que, en conjunto, contribuyen a una superficie de ataque en constante expansión.
Para los ciberdelincuentes, perseguir a proveedores con acceso privilegiado a los sistemas centrales puede ser una salida fácil, comprometiendo a proveedores más pequeños que pueden tener enormes efectos en cadena.
Para muchos grupos de ataque, este se ha convertido en el método elegido. Tanto es así que se espera que el costo anual global de los ataques a la cadena de suministro de software para las empresas alcance los 138 mil millones de dólares para 2031, frente a los 60 mil millones de dólares en 2025. De hecho, incluso un pequeño eslabón débil en la cadena puede presentar enormes riesgos cibernéticos para las empresas de juegos y apuestas.
ISO 27001 e ISO 27701 deberían ser la base para mejorar la resiliencia
Con tanto en juego en la industria del juego y las apuestas, la resiliencia cibernética se ha vuelto esencial.
Para muchos, esta es una preocupación prioritaria. En una encuesta realizada por EY, el 47% de los ejecutivos de juegos dijeron que mitigar el riesgo cibernético es un desafío clave. La pregunta para los operadores es qué medidas prácticas se pueden tomar.
Para muchos, ISO 27001 servirá como un punto de partida natural, un marco y un modelo reconocido globalmente para construir un sistema de gestión de seguridad de la información eficaz. Fundamentalmente, proporciona una forma estructurada para que las organizaciones identifiquen riesgos, implementen controles e incorporen procesos y políticas claros relacionados con la protección de datos.
Para las empresas de juegos de azar, ISO 27001 es particularmente relevante. El Estándar Técnico de Software y Juego Remoto (RTS) de la Gambling Commission requiere específicamente que los operadores completen una auditoría de seguridad anual de terceros que se corresponda con secciones específicas de ISO 27001.
En este sentido, si bien la certificación completa no es obligatoria, alinearse con ella puede ayudar a los operadores a demostrar las mejores prácticas relacionadas con la autenticación segura, el cifrado de datos, la verificación de identidad, el monitoreo, la retención de datos y la supervisión de proveedores.
También se aplican otras leyes. Por ejemplo, cualquier establecimiento de juegos de azar en línea que acepte pagos con tarjeta de crédito debe cumplir con PCI-DSS; sin embargo, vale la pena señalar que muchos de los requisitos de seguridad se superponen y se cruzan con los controles identificados en los Requisitos Técnicos de la Comisión de Juego.
Las empresas de juegos de azar que operan en múltiples jurisdicciones pueden tener que gestionar diferentes reglas de licencia, condiciones de procesamiento de datos y restricciones de transferencia de datos.
Para las organizaciones a las que se aplica, ISO 27701 sirve como una extensión útil de ISO 27001, proporcionándoles un marco de gestión de privacidad que se alinea con GDPR y otras expectativas de privacidad internacionales.
A medida que evolucionan las expectativas regulatorias, los socios de apoyo pueden ayudar a aliviar la carga creciente
Al inicio del mandato, estos valores representan sólo una parte del panorama regulatorio. Dados los diversos desafíos, regulaciones y restricciones de la industria del juego y las apuestas, las organizaciones tienen que cumplir con una gama cada vez más amplia de obligaciones regulatorias que se extienden más allá de la información y la privacidad.
Las regulaciones del juego responsable son un excelente ejemplo, ya que exigen que las empresas demuestren procesos sólidos en torno a la protección de los jugadores, la evaluación de habilidades, el monitoreo del comportamiento y la autoexclusión.
Además, a menudo se exige a los operadores una supervisión más personalizada en áreas como el juego limpio, las pruebas de generadores de números aleatorios, los controles contra el lavado de dinero, las restricciones de ubicación geográfica, las nuevas condiciones de licencia de mercado e incluso la gobernanza interna o las estructuras de presentación de informes a nivel de junta directiva.
No es de extrañar que las empresas a menudo mencionen las crecientes regulaciones y requisitos de licencias específicos de cada región como puntos débiles comunes, junto con la creciente aplicación del juego responsable, las crecientes expectativas de encriptación e inicios de sesión seguros, la presión para procesar evidencia ante los reguladores, los crecientes riesgos de privacidad de los datos, los altos costos de las auditorías fallidas y los retrasos en el proceso de concesión de licencias internas.
En realidad, la carga es enorme. Y para muchas organizaciones, la forma más lógica de simplificarlos es trabajar con un socio dedicado a la seguridad, la privacidad y el cumplimiento que pueda brindar soporte y soluciones que cubran todo el espectro de requisitos regulatorios y mejores prácticas de la industria.
En una industria donde el panorama regulatorio nunca es estático, un soporte tan integral puede significar la diferencia entre mantenerse al día con el cumplimiento y las expectativas de los clientes – o quedarse atrás.
Hemos presentado las mejores VPN empresariales.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
