Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete
Selecciona Edición
Tamaño letra

Sony tarda seis días en avisar de una colosal brecha de seguridad

Un intruso accede a los datos personales de 77 millones de miembros de la PlayStation Network - 330.000 tarjetas de crédito españolas quedan expuestas

El miércoles de la semana pasada, Sony cerró su plataforma PlayStation Network (PSN) por un aparente problema de mantenimiento. El viernes, la compañía admitía públicamente que había detectado una "intrusión" en la misma. Pero no fue hasta la noche del martes cuando Sony dio una explicación más completa y preocupante del problema. Una "persona no autorizada" había tenido acceso a los datos personales de los 77 millones de jugadores inscritos en la citada plataforma. En la propia página de Sony donde se informa de ello, varios internautas expresan su disgusto por la tardanza de la compañía en publicar esta información. "¿Han tardado ustedes una semana en decirnos que nuestros datos estaban comprometidos? Debían haberlo hecho el pasado jueves". Otro amenaza con irse a otro servicio de la competencia, etcétera. Según el Instituto SANS, dedicado a la seguridad informática, se trata de uno de los ataques más importantes detectados hasta ahora.

En España hay tres millones de miembros de la plataforma

Sony no garantiza cuando podrá restablecer el servicio de PSN

La relación de los datos a la que ha podido acceder el intruso resulta escalofriante: nombre, dirección (ciudad, provincia, código postal), país, dirección de correo electrónico, fecha de nacimiento, nombre de acceso y contraseña de PlayStation Network y Qriocity y PSN ID. Es también posible que haya accedido a los datos del perfil, así como al historial de compra y dirección de cobro y preguntas de seguridad de acceso a las cuentas. Si el internauta hubiera autorizado una subcuenta de otra persona asociada a la principal, la información de esta otra persona estaría expuesta. A pesar de no haber evidencia de que se hayan obtenido los datos de la tarjeta de crédito, Sony afirma que no puede negar esta posibilidad. En este caso estarían comprometidos el número de la tarjeta y la fecha de expiración. Estaría a salvo el código de seguridad.

El senador demócrata Richard Blumenthal ha remitido una carta al presidente de Sony América quejándose de la tardanza en avisar. "Cuando se produce una fuga de datos es esencial que el cliente sea inmediatamente advertido", recuerda. El martes, Sony presentó sus nuevas tabletas en Japón sin mencionar el problema ante la prensa.

David Pérez, analista de seguridad de Taddong, considera que este retraso en avisar a las víctimas de la brecha en la plataforma podría obedecer a un intento de ocultar el problema. "Pero no me atrevería a afirmarlo. Puede costar perfectamente seis días tener la certeza de que un intruso ha accedido a los datos". Fuentes de Sony aseguran que se tardó seis días en informar porque ese fue el tiempo que necesitaron los forenses de seguridad para establecer el alcance del ataque. Para Pérez la seguridad total es imposible. "Cuesta más defenderse, porque hay que tapar todos los agujeros digitales que atacar, porque basta detectar una entrada". Lo que es obvio, a juicio de Pérez, es que Sony deberá revisar los protocolos de seguridad de la plataforma que se han mostrado clamorosamente insuficientes. Expertos estadounidenses aventuran que el intruso pudo lograr su objetivo enviando un correo con un virus a un administrador de sistemas de la compañía, una persona con acceso a la base de datos. Al infectar el ordenador,el virus habría dado el control remoto de la máquina al intruso.

La gran preocupación ahora es qué harán los intrusos con la información conseguida. Fuentes de Sony España han explicado a este diario que, hasta el momento, no ha habido ninguna denuncia por uso fraudulento de los datos obtenidos. Nadie, por ejemplo, ha detectado una compra no autorizada con su tarjeta.

La PlayStation Network opera en 59 países y tiene un total de 77 millones de miembros. De ellos, 36 millones de clientes residen en América; 32 son de Europa, Australia, Nueva Zelanda y zonas de países árabes y el resto son internautas de Japón y Asia. En España hay tres millones de miembros, de los que 330.000 tienen registrada una tarjeta de crédito. Una analista de Webbuch Securities estima en 500 millones de dólares la cifra anual de negocio de la PSN.

La PSN es un entorno en línea a la que se accede con las consolas de videojuegos PlayStation3 y PSP, en la que los internautas facilitan sus datos personales y bancarios a Sony para poder jugar en red, navegar por Internet o descargar contenidos multimedia. También ha quedado afectado por la intrusión el servicio de música y cine en línea Qriocity, lanzado hace menos de un año y que se emplea a través de determinados modelos de televisión de la compañía, del reproductor Blu-ray y de los equipos de home theater fabricados por Sony.

Sony confía en restablecer el servicio paulatinamente en el plazo de una semana pero no puede dar garantías de ello. Aprovechando las tribulaciones de Sony, que ve perjudicada gravemente la confianza en su plataforma, Microsoft propuso este fin de semana el acceso gratuito al multijuego de su plataforma Xbox. El caso tiene otras víctimas colaterales. Por ejemplo, Gameloft, que había lanzado su juego Dungeon Hunter Alliance hace dos semanas exclusivamente en PSN. Ahora se abrirá el costoso capítulo de las reclamaciones económicas.

Tras conocerse el caso, las miradas se dirigieron al grupo Anonymous, que había lanzado una serie de ataques contra Sony por su batalla contra el hacker Geohot. Miembros del grupo han desmentido que lo hayan planeado, aunque los analistas no descartan la iniciativa particular de alguno de sus miembros.

Denuncias en España

La organización de consumidores FACUA ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra una investigación sobre el caso de la brecha de seguridad en la PlayStation Network (PSN). Fuentes de la citada agencia han informado de que han iniciado "actuaciones previas" para determinar si se han visto afectados derechos de ciudadanos, posibles vulneraciones de la normativa de protección de datos y las responsabilidades atribuibles.

Los servidores de PSN no se hallan en España. El artículo 9 de la Ley Orgánica de Protección de Datos impone a quien los maneje la obligación de adoptar medidas que garanticen la seguridad de los datos y eviten su alteración, pérdida o acceso no autorizado.

Por otra parte, está pendiente de trasponer en España una directiva europea de 2009 que impone la obligación de los proveedores de servicios de comunicaciones electrónicas disponibles al público de notificar las brechas de seguridad a la autoridad nacional competente, así como a particulares y abonados si la violación de datos pueda afectar negativamente a su intimidad o a sus datos personales.

La agencia tiene actualmente en estudio una denuncia presentada por Nintendo que en febrero de este año vio cómo un internauta colgaba en Internet los datos de 4.000 personas inscritas en una campaña de promoción. Lo acusa de revelación de secretos y amenazas. Históricamente, la agencia ha investigado casos de exposición de datos de clientes, aunque de menor envergadura. El año pasado sancionó con 100.000 euros a Vodafone tras detectarse que en su web un cliente podía acceder a datos de terceros.

El caso de Sony se produce pocas semanas después de que una empresa dedicada a la mercadotecnia digital, Epsilon, de Estados Unidos, sufriera un ataque que dejó al descubierto direcciones de correo que empleaba para las campañas de sus 2.500 clientes. También en Estados Unidos, una brecha dejó al descubierto en 2009 130 millones de datos de Heartland. En 2007, la empresa TJ Maxx vio comprometidos 94 millones de datos.

Consejos para las víctimas

- Si el internauta emplea la misma contraseña de PSN en otros sitios de Internet (bancos, redes sociales, etcétera) debe cambiarla inmediatamente. En PSN no puede hacerlo ya que el servicio está bloqueado y deberá esperar a que se reabra.

- Los miembros de PSN no deben responder a ningún correo electrónico que, en nombre de Sony, les pida datos complementarios de su cuenta. Hay que tener presente que el intruso tiene en su haber las direcciones de correo. Sony remitirá un correo a cada uno de los 77 millones de afectados avisando de lo sucedido y de las precauciones que deben tomar.

- Los internautas suscritos a la plataforma atacada deben revisar sus cuentas bancarias por si detectan algún cobro indebido con la tarjeta de crédito que utilizaban para adquirir servicios en PSN. La nota de Sony donde se ofrecen estos consejos termina agradeciendo la paciencia de las víctimas y pidiendo disculpas por las molestias ocasionadas.

* Este artículo apareció en la edición impresa del Jueves, 28 de abril de 2011

Más información