La fr¨¢gil red de Sony permite el robo de un mill¨®n de datos

"?Por qu¨¦ conf¨ªa en una compa?¨ªa que est¨¢ abierta a ataques muy simples? Lo peor es que cada bit de los datos que cogimos no estaba cifrado". As¨ª explica el grupo Lulzsec su ataque a la base de datos de Sony Pictures y a las sedes digitales de Sony BMG en B¨¦lgica y Holanda, que les ha permitido acceder a un mill¨®n de datos de internautas y que hicieron p¨²blico ayer. Entre los datos comprometidos figuran direcciones electr¨®nicas y postales, contrase?as, fechas de nacimiento, datos asociados a las cuentas, 75.000 c¨®digos de m¨²sica y 3,5 millones de cupones. Sony no ha dado detalles del asalto y ha comunicado que est¨¢ investigando los hechos. Los asaltantes han publicado parte del bot¨ªn en distintas p¨¢ginas (la de Mediafire ayer estaba borrada por violaci¨®n de las condiciones del servicio). Del an¨¢lisis del material publicado se ha obtenido la certeza de que la intrusi¨®n fue real. La p¨¢gina de Lulzsec, seg¨²n explicaron en Twitter, recibi¨® ayer varios ataques.

La ley multa con hasta 300.000 euros la desprotecci¨®n de datos en Espa?a

El ataque se produce la misma semana de reapertura de la PlayStation

Para el abogado experto en privacidad y socio de Eprivacidad.es, Samuel Parra, resulta escandalosa la facilidad con que los intrusos han accedido a la base de datos, cuyas contrase?as estaban sin cifrar y en formato texto. "La Ley de Protecci¨®n de Datos espa?ola obliga a que las contrase?as se almacenen de forma no inteligible y fija sanciones que van de los 40.000 a los 300.000 euros si se incumple este aspecto". De hecho, en Espa?a dos empresas ya han sido sancionadas por este motivo. Parra no excluye que la justicia espa?ola pueda perseguir a Sony. El robo y publicaci¨®n de contrase?as es igualmente punible.

Lo que m¨¢s sorprende a Parra es que los asaltantes puedan haber conseguido su objetivo con una simple inyecci¨®n de SQL, una f¨®rmula de ataque muy simple si el sitio est¨¢ desprotegido. "En una web que pide la identidad y la contrase?a, el intruso coloca una identidad existente, es f¨¢cil que pueda ser "administrador" o similar, y en la ventana de la contrase?a introduce una secuencia de c¨®digo inform¨¢tico que es verdadera (por ejemplo, 1=1) entre unos caracteres llamados "de escape". La m¨¢quina confunde la veracidad de la secuencia con la autenticidad de una contrase?a y abre el paso a la base de datos". Lulzsec hab¨ªa avisado de la inminencia de su ataque con esta amenaza: ser¨¢ el principio del fin de Sony.

En el historial del grupo figura un asalto a Fox, donde robaron la identidad de los concursantes de su programa Factor X, y el m¨¢s reciente a la televisi¨®n p¨²blica de EE UU en protesta por un programa sobre Wikileaks que consideraron inapropiado. Su acci¨®n consisti¨® en colgar de la web de la emisora la falsa noticia de que el rapero Tupac Shakur, asesinado en 1996, estaba vivo. La acci¨®n contra Sony podr¨ªa estar motivada por la persecuci¨®n judicial que la compa?¨ªa lanz¨® contra el joven GeoHot por haber desbloqueado la consola PlayStation3.

Este asalto se produce la misma semana que Sony hab¨ªa reabierto su plataforma PlayStation Network, que sufri¨® una intrusi¨®n en abril que comprometi¨® 70 millones de datos de clientes. En paralelo, un abordaje inform¨¢tico con ¨¦xito a Sony Online dej¨® a la intemperie 30 millones de datos personales. Desde entonces ha sufrido incursiones de menor entidad en webs de Jap¨®n y Tailandia.

Ayer, un ejecutivo de Sony compareci¨® ante la subcomisi¨®n de Energ¨ªa y Consumo de la c¨¢mara de EE UU para explicar este primer ataque. Asegur¨® que Sony hab¨ªa reforzado las medidas de seguridad y que se trat¨® de un asalto muy sofisticado. Tambi¨¦n defendi¨® la tardanza de la empresa en comunicar a los internautas, lo que hab¨ªa sucedido porque, dijo, habr¨ªa sido peor suministrar una informaci¨®n imprecisa o basada en especulaciones. Sony no ha descubierto la identidad de los asaltantes.