Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra
SEGURIDAD | CiberP@ís

La frágil red de Sony permite el robo de un millón de datos

Los asaltantes publican parte de la información obtenida en Internet - Las contraseñas interceptadas estaban sin cifrar y en formato texto

"¿Por qué confía en una compañía que está abierta a ataques muy simples? Lo peor es que cada bit de los datos que cogimos no estaba cifrado". Así explica el grupo Lulzsec su ataque a la base de datos de Sony Pictures y a las sedes digitales de Sony BMG en Bélgica y Holanda, que les ha permitido acceder a un millón de datos de internautas y que hicieron público ayer. Entre los datos comprometidos figuran direcciones electrónicas y postales, contraseñas, fechas de nacimiento, datos asociados a las cuentas, 75.000 códigos de música y 3,5 millones de cupones. Sony no ha dado detalles del asalto y ha comunicado que está investigando los hechos. Los asaltantes han publicado parte del botín en distintas páginas (la de Mediafire ayer estaba borrada por violación de las condiciones del servicio). Del análisis del material publicado se ha obtenido la certeza de que la intrusión fue real. La página de Lulzsec, según explicaron en Twitter, recibió ayer varios ataques.

La ley multa con hasta 300.000 euros la desprotección de datos en España

El ataque se produce la misma semana de reapertura de la PlayStation

Para el abogado experto en privacidad y socio de Eprivacidad.es, Samuel Parra, resulta escandalosa la facilidad con que los intrusos han accedido a la base de datos, cuyas contraseñas estaban sin cifrar y en formato texto. "La Ley de Protección de Datos española obliga a que las contraseñas se almacenen de forma no inteligible y fija sanciones que van de los 40.000 a los 300.000 euros si se incumple este aspecto". De hecho, en España dos empresas ya han sido sancionadas por este motivo. Parra no excluye que la justicia española pueda perseguir a Sony. El robo y publicación de contraseñas es igualmente punible.

Lo que más sorprende a Parra es que los asaltantes puedan haber conseguido su objetivo con una simple inyección de SQL, una fórmula de ataque muy simple si el sitio está desprotegido. "En una web que pide la identidad y la contraseña, el intruso coloca una identidad existente, es fácil que pueda ser "administrador" o similar, y en la ventana de la contraseña introduce una secuencia de código informático que es verdadera (por ejemplo, 1=1) entre unos caracteres llamados "de escape". La máquina confunde la veracidad de la secuencia con la autenticidad de una contraseña y abre el paso a la base de datos". Lulzsec había avisado de la inminencia de su ataque con esta amenaza: será el principio del fin de Sony.

En el historial del grupo figura un asalto a Fox, donde robaron la identidad de los concursantes de su programa Factor X, y el más reciente a la televisión pública de EE UU en protesta por un programa sobre Wikileaks que consideraron inapropiado. Su acción consistió en colgar de la web de la emisora la falsa noticia de que el rapero Tupac Shakur, asesinado en 1996, estaba vivo. La acción contra Sony podría estar motivada por la persecución judicial que la compañía lanzó contra el joven GeoHot por haber desbloqueado la consola PlayStation3.

Este asalto se produce la misma semana que Sony había reabierto su plataforma PlayStation Network, que sufrió una intrusión en abril que comprometió 70 millones de datos de clientes. En paralelo, un abordaje informático con éxito a Sony Online dejó a la intemperie 30 millones de datos personales. Desde entonces ha sufrido incursiones de menor entidad en webs de Japón y Tailandia.

Ayer, un ejecutivo de Sony compareció ante la subcomisión de Energía y Consumo de la cámara de EE UU para explicar este primer ataque. Aseguró que Sony había reforzado las medidas de seguridad y que se trató de un asalto muy sofisticado. También defendió la tardanza de la empresa en comunicar a los internautas, lo que había sucedido porque, dijo, habría sido peor suministrar una información imprecisa o basada en especulaciones. Sony no ha descubierto la identidad de los asaltantes.

* Este artículo apareció en la edición impresa del Sábado, 4 de junio de 2011