El juego de la seguridad
La intrusión en la PlayStation de Sony demuestra que la protección informática no es un dispendio
Que un intruso pueda haber tenido acceso a los datos de 77 millones de miembros de la plataforma PlayStation Network de Sony plantea una doble reflexión. El compromiso que deben tener las compañías en la salvaguarda de los datos personales de sus clientes y las crecientes dificultades ante ataques informáticos cada vez más sofisticados y precisos. Que este mismo mes, una compañía de seguridad de Estados Unidos, la RSA, haya padecido una brecha en sus sistemas es una muestra de ello.
El principal reproche que los usuarios de la citada plataforma hacen a Sony es la tardanza en avisarles del enorme alcance del problema. El miércoles de hace dos semanas cerró el servicio alegando problemas de mantenimiento. El viernes de aquella semana reconoció que había detectado una intrusión... pero no fue hasta el martes de la semana pasada que dio una información detallada de lo que estaba ocurriendo. Una "persona no autorizada" había entrado en su base de datos que estaba expuesta al robo de información tan sensible como las contraseñas, las direcciones postales y electrónicas y, no era descartable a pesar de su almacenamiento cifrado, también el número de tarjeta de crédito y su fecha de caducidad. Incluso en el probable caso de que los forenses de la compañía que investigaban el ataque no evaluaran exactamente la dimensión del mismo hasta ese mismo martes, la empresa debía haber avisado a sus clientes de que la intrusión podía tener este alcance, sobre todo para que pudieran anticipar remedios como cambiar contraseñas iguales en otros sitios de Internet y vigilar movimientos bancarios sospechosos en sus cuentas.
Ahora se han abierto investigaciones por parte de las autoridades de protección de datos y algunos bufetes ya han anunciado demandas colectivas. El coste de lo sucedido puede ser altísimo para Sony. No solo por la reparación de daños y mejora de sus defensas informáticas sino por la merma, ni que sea temporal, de confianza hacia la plataforma. Una desconfianza que se puede contagiar a servicios similares. La seguridad informática no puede garantizarse al cien por cien. Atacar exige detectar un único agujero y defenderse supone rastrear cualquier debilidad en millones de algoritmos. Sin embargo, episodios como este demuestran que invertir en la misma no es un dispendio. Y, desde luego, no es un juego.
