Sony pierde los papeles... de sus clientes

Entre el 16 y el 17 de Abril, la plataforma de juego en línea Playstation Network de Sony sufrió un ataque. Sony no supo nada hasta el día 19, momento en que decidió cerrar los servicios de la plataforma e iniciar una investigación mediante la cual descubrió que los datos de unos 70 millones de sus clientes, que no es precisamente poco, podrían estar ‘comprometidos’. El cierre de la plataforma online provocó que incluso algunos juegos que no son multijugador tampoco funcionaran, ya que requieren de conexión para el sistema de puntuación.

Los datos de esos 70 millones de clientes incluyen nombre y apellidos, fecha de nacimiento, dirección postal completa, teléfono, dirección de correo electrónico, nombre de usuario y contraseña de la plataforma de juego, las preguntas secretas que se usan para recuperar las contraseñas, el historial de compras y, muy posiblemente, también contiene el número de tarjeta de crédito, junto con el número de seguridad CVV2 y las fechas de expiración de las tarjetas. Si fuera así, cualquiera con acceso a esos números podría usar cualquier tarjeta de crédito tranquilamente.

Desde Sony ni confirman ni desmienten que la o las personas que han realizado el ataque hayan conseguido la información de las tarjetas de crédito, aunque la sensación por todo el mundo es que si. De hecho, cualquier cliente de Sony PlayStation debería asumir que así ha sido y cancelar sus tarjetas, así como estar alerta de posibles mensajes solicitando información relativa a cuentas bancarias. De hecho, ya existen casos reportados de movimientos con las tarjetas que, se sospecha, están relacionados con el robo de los datos.

Los rumores indican que la base de datos contiene unos 2 millones de tarjetas de crédito, y que los nuevos y actuales ‘propietarios’ ya están sondeando el mercado underground con tal de vender toda la información al mejor postor.

Sony es una empresa ya conocida por sus tremendos fallos de seguridad. Ya hace años que infectó deliberadamente a cinco millones de sus clientes con el famoso rootkit, un software anti-copia que, bajo el paraguas de la ‘protección de la propiedad intelectual’, proporcionaba datos e información personal de los clientes y usuarios. Cuando los clientes querían eliminar ese software, se dañaba todo el sistema operativo. Pero lo mejor fue la ‘preocupación’ de la empresa por el bienestar sus clientes. Thomas Hesse, presidente de negocio digital global de Sony BMG, lo expresó de forma muy clara:

La mayoría de la gente no tiene ni idea de lo que es un rootkit, así que ¿por qué debería importarles?

Años después, Sony ha vuelto a confiar en sus obscuros métodos de seguridad, consistentes en dotar a sus productos con software de “protección” DRM, una solución tan extremadamente cara como ineficaz, mientras que almacena los datos de sus clientes en texto plano. Y también está empezando a recibir demandas por la escandalosa pérdida de sus bases de datos.

Sin duda, casos tan flagrantes como éstos debieran hacer reflexionar tanto a la indústria cómo a los clientes. Los demagogos e ingenieros sociales no dudarán en usar lo que califican como “acciones de hackeo”, robo y suplantación de identidad para pedir e instaurar medidas más draconianas. Las posibles soluciones podrían pasar por sistemas de datos libres, mucho más confiables, primero por estar basados en soluciones de software libre y abierto, y segundo porque permiten un mayor acceso por parte de los ‘responsables’ últimos de esos datos: los usuarios y clientes que los proporcionan.

Más en Nación Red: ¿Qué se esconde tras la Estrategia Nacional para Identidades Confiables en el Ciberespacio?

Imagen | Kahle