Un intruso accede a los datos personales de 77 millones de miembros
de la PlayStation Network 1.330.000 tarjetas de crédito
quedan expuestas
El miércoles de la semana pasada, Sony cerró su plataforma PlayStation
Network (PSN) por un aparente problema de mantenimiento. El viernes, la
compañía admitía públicamente que había detectado una "intrusión" en la
misma. Pero no fue hasta la noche del martes cuando Sony dio una
explicación más completa y preocupante del problema. Una "persona no
autorizada" había tenido acceso a los datos personales de los 77
millones de jugadores inscritos en la citada plataforma. En la propia
página de Sony donde se informa de ello, varios internautas expresan su
disgusto por la tardanza de la compañía en publicar esta información.
"¿Han tardado ustedes una semana en decirnos que nuestros datos estaban
comprometidos? Debían haberlo hecho el pasado jueves". Otro amenaza con
irse a otro servicio de la competencia, etcétera. Según el Instituto
SANS, dedicado a la seguridad informática, se trata de uno de los
ataques más importantes detectados hasta ahora.La relación de los datos a la que ha podido acceder el intruso
resulta escalofriante: nombre, dirección (ciudad, provincia, código
postal), país, dirección de correo electrónico, fecha de nacimiento,
nombre de acceso y contraseña de PlayStation Network y Qriocity y PSN
ID. Es también posible que haya accedido a los datos del perfil, así
como al historial de compra y dirección de cobro y preguntas de
seguridad de acceso a las cuentas. Si el internauta hubiera autorizado
una subcuenta de otra persona asociada a la principal, la información de
esta otra persona estaría expuesta. A pesar de no haber evidencia de
que se hayan obtenido los datos de la tarjeta de crédito, Sony afirma
que no puede negar esta posibilidad. En este caso estarían comprometidos
el número de la tarjeta y la fecha de expiración. Estaría a salvo el
código de seguridad.
El senador demócrata Richard Blumenthal ha
remitido una carta al presidente de Sony América quejándose de la
tardanza en avisar. "Cuando se produce una fuga de datos es esencial que
el cliente sea inmediatamente advertido", recuerda. El martes, Sony
presentó sus nuevas tabletas en Japón sin mencionar el problema ante la
prensa.
David Pérez, analista de seguridad de Taddong, considera
que este retraso en avisar a las víctimas de la brecha en la plataforma
podría obedecer a un intento de ocultar el problema. "Pero no me
atrevería a afirmarlo. Puede costar perfectamente seis días tener la
certeza de que un intruso ha accedido a los datos". Fuentes de Sony
aseguran que se tardó seis días en informar porque ese fue el tiempo que
necesitaron los forenses de seguridad para establecer el alcance del
ataque. Para Pérez la seguridad total es imposible. "Cuesta más
defenderse, porque hay que tapar todos los agujeros digitales que
atacar, porque basta detectar una entrada". Lo que es obvio, a juicio
de Pérez, es que Sony deberá revisar los protocolos de seguridad de la
plataforma que se han mostrado clamorosamente insuficientes. Expertos
estadounidenses aventuran que el intruso pudo lograr su objetivo
enviando un correo con un virus a un administrador de sistemas de la
compañía, una persona con acceso a la base de datos. Al infectar el
ordenador,el virus habría dado el control remoto de la máquina al
intruso.
La gran preocupación ahora es qué harán los intrusos con
la información conseguida. Fuentes de Sony España han explicado a este
diario que, hasta el momento, no ha habido ninguna denuncia por uso
fraudulento de los datos obtenidos. Nadie, por ejemplo, ha detectado una
compra no autorizada con su tarjeta.
La PlayStation Network opera
en 59 países y tiene un total de 77 millones de miembros. De ellos, 36
millones de clientes residen en América; 32 son de Europa, Australia,
Nueva Zelanda y zonas de países árabes y el resto son internautas de
Japón y Asia. En España hay tres millones de miembros, de los que
330.000 tienen registrada una tarjeta de crédito. Una analista de
Webbuch Securities estima en 500 millones de dólares la cifra anual de
negocio de la PSN.
La PSN es un entorno en línea a la que se
accede con las consolas de videojuegos PlayStation3 y PSP, en la que los
internautas facilitan sus datos personales y bancarios a Sony para
poder jugar en red, navegar por Internet o descargar contenidos
multimedia. También ha quedado afectado por la intrusión el servicio de
música y cine en línea Qriocity, lanzado hace menos de un año y que se
emplea a través de determinados modelos de televisión de la compañía,
del reproductor Blu-ray y de los equipos de home theater fabricados por Sony.
Sony
confía en restablecer el servicio paulatinamente en el plazo de una
semana pero no puede dar garantías de ello. Aprovechando las
tribulaciones de Sony, que ve perjudicada gravemente la confianza en su
plataforma, Microsoft propuso este fin de semana el acceso gratuito al
multijuego de su plataforma Xbox. El caso tiene otras víctimas
colaterales. Por ejemplo, Gameloft, que había lanzado su juego Dungeon Hunter Alliance hace dos semanas exclusivamente en PSN. Ahora se abrirá el costoso capítulo de las reclamaciones económicas.
Tras
conocerse el caso, las miradas se dirigieron al grupo Anonymous, que
había lanzado una serie de ataques contra Sony por su batalla contra el hacker Geohot. Miembros
del grupo han desmentido que lo hayan planeado, aunque los analistas no
descartan la iniciativa particular de alguno de sus miembros.