El Barça sufre un hackeo en Instagram con criptoestafa: criptomonedas falsas y miles de afectados

El FC Barcelona, uno de los clubes deportivos más seguidos del planeta, ha sido víctima de un sofisticado ataque a su cuenta oficial de Instagram, utilizada por los ciberdelincuentes para promocionar una estafa con criptomonedas que ha dejado miles de perjudicados y vuelto a poner en el foco la seguridad de las redes sociales de grandes entidades.

‍

¿Qué ocurrió en el ciberataque al Instagram del Barça?

El ataque se produjo el 7 de octubre de 2025, cuando la cuenta principal del Barça (con cerca de 144 millones de seguidores) fue secuestrada durante aproximadamente una hora. Durante ese tiempo, los atacantes publicaron dos mensajes anunciando el supuesto lanzamiento de un token del Barça en la red Solana, invitando a los aficionados a invertir con promesas de grandes beneficios y mensajes como “construyendo algo enorme en Solana” y “vamos a la luna”.​

La reacción no tardó en llegar: miles de usuarios compraron el falso token $FCB a través de la plataforma Pump.fun, generando un volumen de negociación que llegó a los 3 millones de dólares en minutos antes de desplomarse casi en su totalidad. El hacker obtuvo, según análisis blockchain, unos 26.000 dólares de beneficio antes de borrar rastro y dejar a los fans con activos sin valor.

​

La estafa exprés: cómo operó y por qué funcionó

El éxito de la estafa se debió a la confianza generada por el canal verificado del FC Barcelona y a la rapidez con la que se lanzó el token y se desató la especulación. El engaño acumuló más de 169.000 visualizaciones, 1.600 comentarios y 1.400 republicaciones en tiempo récord. El club recuperó el control a la hora, pero el daño ya estaba hecho.​

Para lograr el acceso, los ciberdelincuentes emplearon técnicas como el robo de cookies o el secuestro de sesión, que permiten burlar la autenticación convencional sin conocer la contraseña. Este ataque recuerda una vez más la importancia crítica de reforzar los controles de seguridad y monitorización en cuentas con millones de seguidores.

​

Riesgos y contexto: el deporte como objetivo prioritario

El deporte de élite es un objetivo creciente del cibercrimen. Clubes como Barça, Real Madrid o Bolonia gestionan enormes volúmenes de datos personales, sistemas complejos de ticketing, e-commerce y apps móviles, lo que los convierte en piezas codiciadas para campañas de estafa, extorsión o ataque a socios y fans. Plataformas como Pump.fun, aunque legales, pueden verse utilizadas para “rug pulls” o fraudes relámpago, debido a la ausencia de verificación y controles de autenticidad del promotor.

​

Consejos y conclusiones para usuarios y organizaciones

• Desconfía de inversiones y novedades comunicadas únicamente en redes sociales, incluso si provienen de cuentas verificadas.
• No accedas a enlaces sospechosos ni conectes tu wallet a proyectos no contrastados.
• Revisa periódicamente la seguridad de tus cuentas instituyendo la doble autenticación, monitorizando sesiones y evaluando accesos.
• Organizaciones y empresas deben formar a equipos y reforzar la supervisión de canales, sistemas de autenticación y monitorización de publicaciones automatizadas.

‍

¿Quieres blindar las redes sociales y perfiles públicos de tu empresa frente a ciberataques?

🛡️ En Apolo Cybersecurity analizamos vulnerabilidades, formamos a equipos y acompañamos con auditoría y respuesta. Consulta cómo proteger tu reputación digital y la de tus seguidores ante amenazas emergentes.

‍