La hecatombe del PlayStation Network

por Luis Andrés Iregui V.  Abril 27 de 2011 @ 5:36 pm
Tema: Industria, Seguridad y privacidad, Videojuegos

Sony va a tener que dar muchas explicaciones en E3 2011, cuando se enfrente a toda la prensa del mundo. Imagen: Engadget.

Durante los últimos seis días, más de 70 millones de clientes del PlayStation Network (PSN) ­–el servicio en línea para las consolas de Sony– y Qriocity –el complemento musical y de video de PSN– han estado desconectados por lo que hasta ahora había sido descrito solamente como un problema causado por una ‘intrusión’. Hoy fue confirmado que los peores temores de los más paranoicos son ciertos: los datos personales, contraseñas e información de tarjetas de crédito de los miembros de PSN han sido “comprometidos”.

¿Qué significa eso exactamente? Sony no lo sabe, pero sí está claro que información muy delicada puede estar en las manos de uno o varios criminales informáticos. En el blog oficial para Latinoamérica la empresa ha publicado varios artículos relacionados con el problema y en uno de los más recientes precisa qué fue lo que pudo haber ocurrido.

“Agradecemos su paciencia mientras resolvemos estas problemáticas lo más rápido y eficientemente posible.Mientras seguimos investigando los detalles de este incidente, creemos que una persona no autorizada ha obtenido acceso a la siguiente información: Nombre, dirección (estado, ciudad y código postal), dirección de correo electrónico, fecha de nacimiento y contraseña y usuario de PlayStation Network. Es posible que datos como el historial de compras y dirección de facturación hayan sido obtenidos. En el caso de que se cuente con sub cuentas para los dependientes, es posible que esa información haya sido comprometida también. Hasta la fecha no hay evidencia que los datos de las tarjetas de crédito hayan sido comprometidos, pero no podemos obviar esa posibilidad”, le una de las publicaciones más recientes.

Sin embargo, voceros oficiales de otros países pintan un panorama mucho más preocupante. En el comunicado para Estados Unidos y Europa, Sony admite que si bien no puede estar seguro de lo que está pasando,“para que abunde la precaución estamos advirtiendo que los números y fechas de vencimiento de las tarjetas de crédito (excluyendo el código de seguridad) pueden haber sido obtenidos”. En otras palabras, parece que lo único que no se llevaron los hackers fueron los códigos de seguridad de las tarjetas, pero al tener literalmente toda la otra información de las tarjetas de crédito y de sus dueños, la facilidad de usarlas para irse de compras es muy grande. Con tantos detalles personales, incluso es posible engañar al banco y robar la identidad de la persona.

IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN

La importancia que tiene la seguridad de la información y el poder que implica manejar información es un tema muy delicado que no está en el conocimiento de muchos. En el contexto de internet, muchos usuarios no le dan mayor importancia a la información que publican en la red y de qué forma lo hacen y más aún, muchos no diferencian lo privado de lo público, no por que no quieran o porque no saben cómo diferenciar una cosa de la otra, simplemente es por ignorancia, el problema radica en la recuperación de la información. Para mucha gente es normal pertenecer en redes sociales y publicar su vida, mientras más conocidos sean y más amigos tengan en esa red social más importante se creen y es esta “vulnerabilidad” la que se está explotando: La ingenuidad y/o ignorancia del usuario. Por otro lado están las empresas, quienes son las encargadas de manejar la información privada y/o pública que los usuarios les confían, por ejemplo en el caso de un concurso, típicamente los datos que piden son nombre, apellido, ciudad, Rut/DNI, etc.

La pregunta que sale a flote es ¿Para qué quieren el Rut/DNI en un concurso, si con el teléfono es suficiente para que los puedan ubicar? La respuesta es simple, todos esos datos van a una base de datos que puede ser vendida o usada para enviar publicidad no deseada, más conocido como spam. Con seguridad a nadie le gustaría que esto fuese realidad, pero lo es. Por más que la empresa intente explicar por medio de “letra chica” o “términos y condiciones” que el uso de la información suministrada está fuera de peligro y que serán usados sólo para tal y tal fin. Pues eso es mentira. Se han escuchado experiencias y existen las pruebas necesarias de que eso no ocurre, ni si quiera las entidades del gobierno son capaces de cumplir con algo tan básico como es la protección de la información privada y, de hecho, ni si quiera los mismos usuarios son capaces de proteger su información.

Cabe dentro del tema hacer un análisis de los tipos de passwords que son inseguros, se han clasificado de la siguiente manera: