Sobre PSN: Hablemos de informática (Actualizado)

Actualización: Debido a todas las informaciones que están saliendo en los últimos días, vamos a ofreceros nuevas filtraciones gracias al aviso de Pakoito. Para empezar, Sony asegura que los datos de las tarjetas de crédito estaban cifrados, pero reconociendo que el resto no. Sin embargo, gracias a algunos usuarios sabemos que esto es mentira, habiéndose dado a conocer este hecho mucho antes de toda esta polémica. Pero la cosa no queda aquí, y es que gracias a los logs de conversación de algunos reconocidos usuarios hemos tenido acceso a nueva información.

Para empezar, la base de datos de los usuarios de PlayStation Network está a la venta, incluyendo tarjetas de crédito y sus códigos de seguridad CVV. También se sabe que se le ofreció a Sony la posibilidad de comprarla, pero la oferta fue rechazada. Pero esto no es nada, lo más interesante viene ahora. Gracias a un par de logs (1 y 2) y al usuario SuperKen7 que ha revisado toda la información sabemos que:

  • Sony colecciona un montón de información y la envía a sus servidores, a saber: información de todo lo que hay en los pendrives que insertas en el USB, juegos que pones en la consola, cosas que haces en los menús, etcétera.
  • Las comunicaciones, en origen, iban sin cifrar por Internet, incluyendo nuestros datos bancarios (sin cifrado https siquiera).
  • Los logs de acceso a los servidores estaban expuestos a todo el mundo, sin ningún tipo de cifrado ni encriptación.
  • Las funciones de poner un servidor en modo mantenimiento eran públicas, y cualquiera con conocimientos podía hacerlo.
  • También se menciona que alguno de los parametros de los servidores permite modificar si la descarga de un juego es de pago o es gratuita (debido a esto es por lo que algunos usuarios descargaban contenidos gratuitos).

En definitiva, que PlayStation Network era un coladero, fuente de inseguridad para todos nuestros datos, a los que, según parece, cualquiera podía tener acceso. Veremos como evoluciona, pero las reiteradas mentiras de Sony no parecen ser el mejor camino para retomar la confianza de los usuarios. De momento, sus acciones ya han caído un 8% en apenas una semana. Os dejamos con el artículo original.

Artículo original: Como bien sabréis ya a estas alturas, PlayStation Network lleva más de una semana sin funcionar, dejando a millones de jugadores sin la posibilidad de jugar online, descargar contenidos de la tienda virtual o simplemente ejecutar algunos juegos descargados de la red.

Sony, de forma oficial, ha guardado un silencio preocupante (diciendo en un principio que se trataba de un parón por mantenimiento), y casi una semana más tarde comunicando que se trataba de un ataque externo a su red, motivo por el cual habían decidido re-hacerla desde cero.

Hoy, definitivamente hemos conocido la verdad (o al menos eso pensamos) y es que alguien accedió a los servidores de Sony y sacó sustanciosos datos personales: nombre y dirección del usuario, email, fecha de nacimiento, contraseña, PSN id, historial de compra, dirección de facturación, pregunta de seguridad de la contraseña, número de tarjeta de crédito y fecha de expiración. En fin, si queréis conocer todos los detalles os invito a leer este artículo, lugar de donde además he sacado la cabecera que ilustra la noticia.

Muchas son las disputas entre los usuarios sobre la responsabilidad de los datos y las medidas legales que se pueden emprender, así que voy a intentar aportar un poco de luz (y animo a que los usuarios también lo hagan en sus comentarios) sobre el tema.

En el sector informático, la empresa es la encargada de mantener a salvo los datos de sus clientes, usando para ello todos los medios que tengan a su alcance. Si en una empresa se filtran datos, además de investigar su origen, el encargado de ello puede ser puesto de patitas en la calle, además de denunciado si los datos son sensibles y no ha cumplido con sus obligaciones legales. Si esto sucede en una empresa de apenas un centenar de trabajadores, ¿qué puede pasar en Sony?

Por otra parte, hablando de leyes (al menos en España), la Ley de Protección de Datos obliga a usar sistemas como la encriptación y el cifrado para datos sensibles (como puede ser una contraseña o los datos bancarios), de forma que aún siendo robados los datos, nadie sea capaz de leerlos. Sin embargo, se ha confirmado (se podía acceder mediante el navegador de internet en nuestra propia cuenta) que Sony no tenía dichos datos cifrados, de forma que quien los ha robado, los tiene al completo. Esto de por sí supone un delito, y es muy grave. Y encima, los usuarios están siendo comunicados con una semana de retraso, lo que supone otra nueva vulneración de las leyes. Gracias a Anchang, podéis ver como Sony no encriptaba nada, sólo entunelaba todo bajo https, algo a todas luces ineficiente cuando te entran hasta la cocina.

Por lo tanto, si un hacker ha conseguido acceder a la red de Sony y ha robado los datos, a los usuarios nos da exactamente igual, no importa si ha sido Pepito o Juanito, ya que con esa persona tendrá que lidiar la multinacional nipona. A nosotros, los usuarios, nos importa que Sony ha manipulado de forma insegura nuestros datos, y encima manteniéndolos sin ningún tipo de seguridad de alto nivel como la encriptación, algo que hasta la página web más remota tiene hoy en día. Moralmente la culpa será de un malnacido que ha robado los datos, pero legalmente, es Sony la responsable de ellos. Y esto en informática es así, no hay más.

Si realmente las tarjetas empiezan a recibir cargos, puede ser una de las mayores avalanchas de denuncias que se le puede venir encima a una compañía, porque son muchas las negligencias que han cometido. Para que os hagáis una idea de hasta donde está llegando, apenas unas horas después del comunicado, un senador de Estados Unidos ya ha pedido explicaciones a la compañía.

¿Medidas a tomar? Yo os recomendaría cambiar la contraseña de vuestro correo electrónico si coincidía con la de PlayStation Network, además de vigilar atentamente los movimientos bancarios. Sólo queda esperar y ver como se desarrolla la situación, pero no deja de ser aterrador que una multinacional de tal magnitud pueda cometer errores tan graves con los datos de los usuarios. Lamentable.