Sony tarda seis días en avisar de una colosal brecha de seguridad

El miércoles de la semana pasada, Sony cerró su plataforma PlayStation Network (PSN) por un aparente problema de mantenimiento. El viernes, la compañía admitía públicamente que había detectado una "intrusión" en la misma. Pero no fue hasta la noche del martes cuando Sony dio una explicación más completa y preocupante del problema. Una "persona no autorizada" había tenido acceso a los datos personales de los 77 millones de jugadores inscritos en la citada plataforma. En la propia página de Sony donde se informa de ello, varios internautas expresan su disgusto por la tardanza de la compañía en publicar esta información. "¿Han tardado ustedes una semana en decirnos que nuestros datos estaban comprometidos? Debían haberlo hecho el pasado jueves". Otro amenaza con irse a otro servicio de la competencia, etcétera. Según el Instituto SANS, dedicado a la seguridad informática, se trata de uno de los ataques más importantes detectados hasta ahora.

En España hay tres millones de miembros de la plataforma

Sony no garantiza cuando podrá restablecer el servicio de PSN

La relación de los datos a la que ha podido acceder el intruso resulta escalofriante: nombre, dirección (ciudad, provincia, código postal), país, dirección de correo electrónico, fecha de nacimiento, nombre de acceso y contraseña de PlayStation Network y Qriocity y PSN ID. Es también posible que haya accedido a los datos del perfil, así como al historial de compra y dirección de cobro y preguntas de seguridad de acceso a las cuentas. Si el internauta hubiera autorizado una subcuenta de otra persona asociada a la principal, la información de esta otra persona estaría expuesta. A pesar de no haber evidencia de que se hayan obtenido los datos de la tarjeta de crédito, Sony afirma que no puede negar esta posibilidad. En este caso estarían comprometidos el número de la tarjeta y la fecha de expiración. Estaría a salvo el código de seguridad.

El senador demócrata Richard Blumenthal ha remitido una carta al presidente de Sony América quejándose de la tardanza en avisar. "Cuando se produce una fuga de datos es esencial que el cliente sea inmediatamente advertido", recuerda. El martes, Sony presentó sus nuevas tabletas en Japón sin mencionar el problema ante la prensa.

David Pérez, analista de seguridad de Taddong, considera que este retraso en avisar a las víctimas de la brecha en la plataforma podría obedecer a un intento de ocultar el problema. "Pero no me atrevería a afirmarlo. Puede costar perfectamente seis días tener la certeza de que un intruso ha accedido a los datos". Fuentes de Sony aseguran que se tardó seis días en informar porque ese fue el tiempo que necesitaron los forenses de seguridad para establecer el alcance del ataque. Para Pérez la seguridad total es imposible. "Cuesta más defenderse, porque hay que tapar todos los agujeros digitales que atacar, porque basta detectar una entrada". Lo que es obvio, a juicio de Pérez, es que Sony deberá revisar los protocolos de seguridad de la plataforma que se han mostrado clamorosamente insuficientes. Expertos estadounidenses aventuran que el intruso pudo lograr su objetivo enviando un correo con un virus a un administrador de sistemas de la compañía, una persona con acceso a la base de datos. Al infectar el ordenador,el virus habría dado el control remoto de la máquina al intruso.

La gran preocupación ahora es qué harán los intrusos con la información conseguida. Fuentes de Sony España han explicado a este diario que, hasta el momento, no ha habido ninguna denuncia por uso fraudulento de los datos obtenidos. Nadie, por ejemplo, ha detectado una compra no autorizada con su tarjeta.

La PlayStation Network opera en 59 países y tiene un total de 77 millones de miembros. De ellos, 36 millones de clientes residen en América; 32 son de Europa, Australia, Nueva Zelanda y zonas de países árabes y el resto son internautas de Japón y Asia. En España hay tres millones de miembros, de los que 330.000 tienen registrada una tarjeta de crédito. Una analista de Webbuch Securities estima en 500 millones de dólares la cifra anual de negocio de la PSN.

La PSN es un entorno en línea a la que se accede con las consolas de videojuegos PlayStation3 y PSP, en la que los internautas facilitan sus datos personales y bancarios a Sony para poder jugar en red, navegar por Internet o descargar contenidos multimedia. También ha quedado afectado por la intrusión el servicio de música y cine en línea Qriocity, lanzado hace menos de un año y que se emplea a través de determinados modelos de televisión de la compañía, del reproductor Blu-ray y de los equipos de home theater fabricados por Sony.

Sony confía en restablecer el servicio paulatinamente en el plazo de una semana pero no puede dar garantías de ello. Aprovechando las tribulaciones de Sony, que ve perjudicada gravemente la confianza en su plataforma, Microsoft propuso este fin de semana el acceso gratuito al multijuego de su plataforma Xbox. El caso tiene otras víctimas colaterales. Por ejemplo, Gameloft, que había lanzado su juego Dungeon Hunter Alliance hace dos semanas exclusivamente en PSN. Ahora se abrirá el costoso capítulo de las reclamaciones económicas.

Tras conocerse el caso, las miradas se dirigieron al grupo Anonymous, que había lanzado una serie de ataques contra Sony por su batalla contra el hacker Geohot. Miembros del grupo han desmentido que lo hayan planeado, aunque los analistas no descartan la iniciativa particular de alguno de sus miembros.