El robo de datos a Sony ha resultado más grave de lo previsto por la compañía, que ayer se vio obligada a dar cifras de los afectados por un nuevo agujero de seguridad en sus servidores. Los datos no bancarios de 24,6 millones de cuentas de su servicio de juegos en Internet Sony Online Entertainment (SOE) han sido robados con una fórmula similar a la que se dio a conocer la semana pasada con PlayStation Network (PSN), la plataforma de servicios online de la compañía. En realidad, no se trata de un ataque nuevo, pero la compañía no fue consciente de este segundo episodio hasta el pasado domingo.
Esta nueva intrusión eleva a más de 100 millones las cuentas comprometidas por el robo de datos coordinado que tuvo lugar entre el 16 y el 17 del pasado abril, y que ya afectó a 77 millones de usuarios de PSN. Entre los datos que tienen los delincuentes se encuentran el nombre, la dirección, el correo electrónico, la fecha de nacimiento, el número de teléfono, el nombre de usuario y la contraseña de juego de las víctimas.
Pero hay otro tema que ha creado una alarma mayor. Los atacantes de SOE también se hicieron con una base de datos de Sony fechada en 2007 y ya en desuso. No obstante, esa lista sí incluía los datos bancarios de 12.700 usuarios de fuera de Estados Unidos, y los de 10.700 de España, Holanda, Alemania y Austria, según admitió Sony ayer en un comunicado.
La compañía precisó que los "datos comprometidos" de usuarios españoles corresponden a 174 cuentas con cifras provisionales. Los ciberdelincuentes han accedido a los datos de las tarjetas de crédito o débito de 114 de ellos y al número de cuenta bancaria de unos 60. Desde la compañía se insiste en que no se ha accedido al código de seguridad de las tarjetas. Sony precisó ayer que ambos ataques se han servido de la misma brecha de seguridad y, aunque aún se investiga la autoría, sus similitudes y la coincidencia temporal hacen pensar en el mismo grupo de atacantes.
Más allá de las consolas
SOE es una compañía de juegos online mediante subscripción mensual que depende de Sony, pero que no está relacionada directamente con PSN. Los títulos que ofrece (entre los que destacan DC Universe Online, EverQuest o Clone Wars Adventures) no son exclusivos de PlayStation 3, y también pueden jugarse en PC, Mac, plataformas móviles o redes sociales como Facebook, lo que extiende el robo de datos más allá de las máquinas de Sony.
La compañía desconoce por el momento cuántos de los afectados en España jugaban en cada una de las plataformas, aunque afirma que ya ha contactado con los usuarios para alertarles sobre el ataque. "Nuestras recomendaciones insisten en que no se facilite ningún dato por correo electrónico, ya que Sony nunca va a solicitar a sus clientes este tipo de información. También aconsejamos controlar los movimientos de las tarjetas, aunque en principio, al no haber accedido al código de seguridad, no se pueden utilizar", explica la compañía.
En el mismo sentido se expresó ayer la Unión de Consumidores de España (UCE), que hizo un llamamiento para que los usuarios permanezcan atentos a cualquier movimiento inusual en sus cuentas bancarias. "En ese momento deben acudir a su banco y reclamar el importe que sospechen les ha sido sustraído", explicó José Ángel Oliván, presidente de la UCE. Aunque Sony tiene responsabilidad en los datos robados, esas operaciones estarían aseguradas por el banco. "En cualquier caso deberían ser las entidades financieras las que reclamen a la compañía", añadió.
La Agencia Española de Protección de Datos decidió la semana pasada investigar a Sony por el robo en PSN, aunque la inspección podría no obtener resultados. "El problema que existe es que esas bases de datos están almacenadas en Estados Unidos por la compañía matriz, y se amparan bajo legislación estadounidense", destacan desde la UCE. De cualquier forma, esta asociación también ha informado de que tomará medidas en el caso de que un usuario hubiera sido víctima de un robo a partir de los datos bancarios sustraídos y la entidad no se quisiera hacer responsable de los gastos ocasionados.
Cómo se produjo el ataque
Los expertos en seguridad se muestran reticentes a especular con los fallos de seguridad que pueden haber contribuido al robo de datos en Sony e insisten en que sólo la compañía puede saber realmente lo que ha pasado. Los responsables de la empresa, que tardaron una semana en reconocer el problema y otra más en percatarse de que también afectaba a SOE, ya han pedido disculpas a sus usuarios, aunque no han desvelado los detalles técnicos del ataque. A raíz del diagrama básico hecho público por la compañía, el analista de malware de Kaspersky Labs Vicente Ruiz destaca que, "en principio, los hechos apuntan a un ataque SQL".
Esta técnica, que no es nueva, consiste a grandes rasgos en introducir un código en el servidor de una empresa aprovechando una vulnerabilidad para que este no sepa interpretarlo y permita el acceso, en ese caso, a las bases de datos con información de los clientes. "En ocasiones, el fin de los delincuentes es hacerse con el control del servidor web, pero con Sony se ha conseguido que permita el acceso a datos que no tendría que mostrar", añade Ruiz, que observa dos fallos: el que les permitió entrar al servidor y el que les llevó a acceder a la base de datos.
"Este acto criminal contra nuestra red tuvo un impacto significativo no sólo en nuestros usuarios, sino en nuestra industria completa. Estos ataques ilegales obviamente destacan el problema generalizado en ciberseguridad", declaró en rueda de prensa Kazuo Hirai, vicepresidente de Sony. Ruiz reconoce que "es imposible tener riesgo cero en materia de seguridad informática" y manifiesta no sorprenderse por este tipo de fallos de seguridad. "Un ataque realizado con tiempo y con recursos es muy difícil de frenar. La infraestructura que tiene Sony debe de ser impresionante, pero en cualquier transatlántico, con tiempo y conocimientos, se pueden encontrar agujeros. Y Sony es un gran objetivo a batir".
La compañía trabaja junto al FBI y las autoridades judiciales para establecer la autoría del ataque. En paralelo, pretende habilitar algunos de los servicios afectados en PSN durante esta semana. "No se van a restablecer los servicios tal cual estaban, se han reconstruido desde cero para reforzar la seguridad y que no exista posibilidad de que esto se repita", añaden fuentes de Sony Computer Entertainment. La compañía valora compensar a los usuarios afectados, tanto de PSN como de SOE, mediante suscripciones gratuitas mensuales u otro tipo de compensaciones, aunque esta contrapartida variará en función de los países.
FUENTE: www.publico.es