Sony tarda seis d��as en avisar de una colosal brecha de seguridad

Un intruso accede a los datos personales de 77 millones de miembros de la PlayStation Network - 330.000 tarjetas de cr��dito espa?olas quedan expuestas

Barcelona - 28 abr 2011 - 07:00CEST

El mi��rcoles de la semana pasada, Sony cerr�� su plataforma PlayStation Network (PSN) por un aparente problema de mantenimiento. El viernes, la compa?��a admit��a p��blicamente que hab��a detectado una "intrusi��n" en la misma. Pero no fue hasta la noche del martes cuando Sony dio una explicaci��n m��s completa y preocupante del problema. Una "persona no autorizada" hab��a tenido acceso a los datos personales de los 77 millones de jugadores inscritos en la citada plataforma. En la propia p��gina de Sony donde se informa de ello, varios internautas expresan su disgusto por la tardanza de la compa?��a en publicar esta informaci��n. "?Han tardado ustedes una semana en decirnos que nuestros datos estaban comprometidos? Deb��an haberlo hecho el pasado jueves". Otro amenaza con irse a otro servicio de la competencia, etc��tera. Seg��n el Instituto SANS, dedicado a la seguridad inform��tica, se trata de uno de los ataques m��s importantes detectados hasta ahora.

En Espa?a hay tres millones de miembros de la plataforma

Sony no garantiza cuando podr�� restablecer el servicio de PSN

M��s informaci��n

Microsoft alerta de un problema de 'phishing' en la Xbox

La relaci��n de los datos a la que ha podido acceder el intruso resulta escalofriante: nombre, direcci��n (ciudad, provincia, c��digo postal), pa��s, direcci��n de correo electr��nico, fecha de nacimiento, nombre de acceso y contrase?a de PlayStation Network y Qriocity y PSN ID. Es tambi��n posible que haya accedido a los datos del perfil, as�� como al historial de compra y direcci��n de cobro y preguntas de seguridad de acceso a las cuentas. Si el internauta hubiera autorizado una subcuenta de otra persona asociada a la principal, la informaci��n de esta otra persona estar��a expuesta. A pesar de no haber evidencia de que se hayan obtenido los datos de la tarjeta de cr��dito, Sony afirma que no puede negar esta posibilidad. En este caso estar��an comprometidos el n��mero de la tarjeta y la fecha de expiraci��n. Estar��a a salvo el c��digo de seguridad.

El senador dem��crata Richard Blumenthal ha remitido una carta al presidente de Sony Am��rica quej��ndose de la tardanza en avisar. "Cuando se produce una fuga de datos es esencial que el cliente sea inmediatamente advertido", recuerda. El martes, Sony present�� sus nuevas tabletas en Jap��n sin mencionar el problema ante la prensa.

David P��rez, analista de seguridad de Taddong, considera que este retraso en avisar a las v��ctimas de la brecha en la plataforma podr��a obedecer a un intento de ocultar el problema. "Pero no me atrever��a a afirmarlo. Puede costar perfectamente seis d��as tener la certeza de que un intruso ha accedido a los datos". Fuentes de Sony aseguran que se tard�� seis d��as en informar porque ese fue el tiempo que necesitaron los forenses de seguridad para establecer el alcance del ataque. Para P��rez la seguridad total es imposible. "Cuesta m��s defenderse, porque hay que tapar todos los agujeros digitales que atacar, porque basta detectar una entrada". Lo que es obvio, a juicio de P��rez, es que Sony deber�� revisar los protocolos de seguridad de la plataforma que se han mostrado clamorosamente insuficientes. Expertos estadounidenses aventuran que el intruso pudo lograr su objetivo enviando un correo con un virus a un administrador de sistemas de la compa?��a, una persona con acceso a la base de datos. Al infectar el ordenador,el virus habr��a dado el control remoto de la m��quina al intruso.

La gran preocupaci��n ahora es qu�� har��n los intrusos con la informaci��n conseguida. Fuentes de Sony Espa?a han explicado a este diario que, hasta el momento, no ha habido ninguna denuncia por uso fraudulento de los datos obtenidos. Nadie, por ejemplo, ha detectado una compra no autorizada con su tarjeta.

La PlayStation Network opera en 59 pa��ses y tiene un total de 77 millones de miembros. De ellos, 36 millones de clientes residen en Am��rica; 32 son de Europa, Australia, Nueva Zelanda y zonas de pa��ses ��rabes y el resto son internautas de Jap��n y Asia. En Espa?a hay tres millones de miembros, de los que 330.000 tienen registrada una tarjeta de cr��dito. Una analista de Webbuch Securities estima en 500 millones de d��lares la cifra anual de negocio de la PSN.

La PSN es un entorno en l��nea a la que se accede con las consolas de videojuegos PlayStation3 y PSP, en la que los internautas facilitan sus datos personales y bancarios a Sony para poder jugar en red, navegar por Internet o descargar contenidos multimedia. Tambi��n ha quedado afectado por la intrusi��n el servicio de m��sica y cine en l��nea Qriocity, lanzado hace menos de un a?o y que se emplea a trav��s de determinados modelos de televisi��n de la compa?��a, del reproductor Blu-ray y de los equipos de home theater fabricados por Sony.

Sony conf��a en restablecer el servicio paulatinamente en el plazo de una semana pero no puede dar garant��as de ello. Aprovechando las tribulaciones de Sony, que ve perjudicada gravemente la confianza en su plataforma, Microsoft propuso este fin de semana el acceso gratuito al multijuego de su plataforma Xbox. El caso tiene otras v��ctimas colaterales. Por ejemplo, Gameloft, que hab��a lanzado su juego Dungeon Hunter Alliance hace dos semanas exclusivamente en PSN. Ahora se abrir�� el costoso cap��tulo de las reclamaciones econ��micas.

Tras conocerse el caso, las miradas se dirigieron al grupo Anonymous, que hab��a lanzado una serie de ataques contra Sony por su batalla contra el hacker Geohot. Miembros del grupo han desmentido que lo hayan planeado, aunque los analistas no descartan la iniciativa particular de alguno de sus miembros.

Dos j��venes juegan con la Playstation en un centro comercial de Barcelona.MARCEL. L? S?ENZ

Denuncias en Espa?a

La organizaci��n de consumidores FACUA ha solicitado a la Agencia Espa?ola de Protecci��n de Datos (AEPD) que abra una investigaci��n sobre el caso de la brecha de seguridad en la PlayStation Network (PSN). Fuentes de la citada agencia han informado de que han iniciado "actuaciones previas" para determinar si se han visto afectados derechos de ciudadanos, posibles vulneraciones de la normativa de protecci��n de datos y las responsabilidades atribuibles.

Los servidores de PSN no se hallan en Espa?a. El art��culo 9 de la Ley Org��nica de Protecci��n de Datos impone a quien los maneje la obligaci��n de adoptar medidas que garanticen la seguridad de los datos y eviten su alteraci��n, p��rdida o acceso no autorizado.

Por otra parte, est�� pendiente de trasponer en Espa?a una directiva europea de 2009 que impone la obligaci��n de los proveedores de servicios de comunicaciones electr��nicas disponibles al p��blico de notificar las brechas de seguridad a la autoridad nacional competente, as�� como a particulares y abonados si la violaci��n de datos pueda afectar negativamente a su intimidad o a sus datos personales.

La agencia tiene actualmente en estudio una denuncia presentada por Nintendo que en febrero de este a?o vio c��mo un internauta colgaba en Internet los datos de 4.000 personas inscritas en una campa?a de promoci��n. Lo acusa de revelaci��n de secretos y amenazas. Hist��ricamente, la agencia ha investigado casos de exposici��n de datos de clientes, aunque de menor envergadura. El a?o pasado sancion�� con 100.000 euros a Vodafone tras detectarse que en su web un cliente pod��a acceder a datos de terceros.

El caso de Sony se produce pocas semanas despu��s de que una empresa dedicada a la mercadotecnia digital, Epsilon, de Estados Unidos, sufriera un ataque que dej�� al descubierto direcciones de correo que empleaba para las campa?as de sus 2.500 clientes. Tambi��n en Estados Unidos, una brecha dej�� al descubierto en 2009 130 millones de datos de Heartland. En 2007, la empresa TJ Maxx vio comprometidos 94 millones de datos.

Consejos para las v��ctimas

- Si el internauta emplea la misma contrase?a de PSN en otros sitios de Internet (bancos, redes sociales, etc��tera) debe cambiarla inmediatamente. En PSN no puede hacerlo ya que el servicio est�� bloqueado y deber�� esperar a que se reabra.

- Los miembros de PSN no deben responder a ning��n correo electr��nico que, en nombre de Sony, les pida datos complementarios de su cuenta. Hay que tener presente que el intruso tiene en su haber las direcciones de correo. Sony remitir�� un correo a cada uno de los 77 millones de afectados avisando de lo sucedido y de las precauciones que deben tomar.

- Los internautas suscritos a la plataforma atacada deben revisar sus cuentas bancarias por si detectan alg��n cobro indebido con la tarjeta de cr��dito que utilizaban para adquirir servicios en PSN. La nota de Sony donde se ofrecen estos consejos termina agradeciendo la paciencia de las v��ctimas y pidiendo disculpas por las molestias ocasionadas.

Tu suscripci��n se est�� usando en otro dispositivo

?Quieres a?adir otro usuario a tu suscripci��n?

A?adir usuario Continuar leyendo aqu��

Si contin��as leyendo en este dispositivo, no se podr�� leer en el otro.

?Por qu�� est��s viendo esto?

Flecha

Tu suscripci��n se est�� usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripci��n a la modalidad Premium, as�� podr��s a?adir otro usuario. Cada uno acceder�� con su propia cuenta de email, lo que os permitir�� personalizar vuestra experiencia en EL PA?S.

En el caso de no saber qui��n est�� usando tu cuenta, te recomendamos cambiar tu contrase?a aqu��.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrar�� en tu dispositivo y en el de la otra persona que est�� usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu�� los t��rminos y condiciones de la suscripci��n digital.