Setenta y siete millones de personas en todo el mundo se levantaron ayer con la confirmación oficial de una sospecha, tras días de rumores: entre el 17 y el 19 de abril, un intruso consiguió quebrar el sistema de seguridad de PlayStation Network, la red de juegos «on line» de Sony para las consolas PlayStation 3 y PSP. Se trata de una de las brechas de seguridad más importantes en la historia de internet, quizá la segunda tras la que sufrió en 2009 Heartland, uno de los mayores procesadores de transacciones con tarjetas de pago en Estados Unidos, cuando los «hackers» robaron los datos de 130 millones de cuentas.
Sony informó de la caída del servicio el pasado día 21. Dijo que los técnicos trabajaban en encontrar las causas del «problema», y que el sistema volvería a funcionar en uno o dos días. Nada más lejos de la realidad. El pasado martes por la noche, la compañía japonesa confirmó los daños: «Hemos descubierto que entre el 17 y el 19 de abril, determinada información de los usuarios de PlayStation Network y Qriocity ha sido puesta en compromiso por una intrusión ilegal en nuestro sistema». El robo afecta a todos los usuarios de la PS3 y la PSP con cuenta en PlayStation Network: 77 millones en todo el mundo (36 en Estados Unidos, 32 en Europa y otros 9 en Asia). Sony nunca entra en detalles de usuarios por países.
El asalto de los «hackers» ha dejado al descubierto cientos de millones de datos sensibles. Entre ellos, confirmados por Sony, nombre, dirección, cuenta de correo electrónico, fecha de nacimiento, y usuario y contraseña tanto de PlayStation Network como de Qriocity, el servicio de música y vídeos de Sony, parecido al iTunes de Apple. Entre la información «posiblemente obtenida», figura la dirección de facturación, el historial de compras, la respuesta a la pregunta de seguridad, y los datos de cuentas asociadas, como las de otros miembros de la familia. Y, al cabo, la traca final: Sony no puede descartar que el robo incluya las tarjetas de crédito, con su fecha de caducidad, aunque no con el número de seguridad.
Retraso en reaccionar
La plataforma de juego seguía caída ayer por la noche, mientras internet hervía en comentarios críticos con la tardanza de Sony en dar la señal de alerta. También sobre ese punto, responde la compañía: «El tiempo que ha pasado entre que identificamos la intrusión el 19 de abril y el momento en que avisamos a nuestros usuarios es debido a que, en el momento de dicha intrusión, cerramos nuestros sistemas y, a partir de ese momento, iniciamos una investigación exhaustiva para determinar el alcance del incidente. Han sido necesarios varios días de trabajo forense, hasta que nuestros expertos pudieron ayer dar un balance del alcance de la situación».
Una vez conocidos los hechos, los expertos se preguntan por los autores de la intrusión y por sus consecuencias. En cuanto al primer capítulo, este tipo de casos suele responder a retos tecnológicos de algunos «hackers», que no acostumbran a utilizar la información obtenida. De hecho, ayer, en los foros de la PS3 se hablaba más de los días perdidos sin jugar que de los daños económicos que les pueda ocasionar el incidente, aunque también hubo quien llamó al Banco para anular su tarjeta de crédito. Respecto a las repercusiones, son imprevisibles, según el uso que se haga de la información robada. Heratland, por ejemplo, tuvo que abonar una indemnización de cuatro millones de dólares a los afectados.
Piden una investigación
En España, Facua ha pedido a la Agencia de Protección de Datos (AEPD) que abra una investigación a Sony para determinar si la empresa japonesa ha vulnerado el «principio de seguridad de los datos». Fuentes de la Agencia confirmaron ayer que van a «iniciar actuaciones previas de investigación para determinar si se han visto afectados derechos de ciudadanos, posibles vulneraciones de la LOPD, y las responsabilidades atribuibles».
Los usuarios de la consola de Sony son precisamente los que más se conectan a la Red, según un estudio realizado por The Diffusion Group en Estados Unidos, aunque las consolas (todas) e internet cada vez tienen una relación más estrecha, lo que aumenta los riesgos de seguridad. De hecho, Microsoft confirmó ayer que se están registrando intentos de estafas informáticas («phishing») con el fin de recopilar datos de los usuarios en su plataforma de juego online Xbox Live. La compañía aseguró que están «trabajando para resolver el problema».
ABC