Luego de haber desconectado por varios días (desde el 20 de abril) la PlayStation Network (PSN) – el servicio para usuarios de la popular consolad de video juegos –, y luego de los rumores que indicaban que la baja del servicio se debía a un mero mantenimiento; Sony confirmó que la causa real fue una intrusión no autorizada a sus sistemas y bases de datos, lo que expuso los datos de sus 77 millones de usuarios.

Aunque Sony no brindó detalles sobre cómo ocurrió el incidente, la empresa confirmó, a través de un correo electrónico a sus usuarios, que los siguientes datos fueron obtenidos por el -o los- atacante: nombre, domicilio, dirección de correo electrónico, fecha de nacimiento y contraseña y usuario de PlayStation Network. Todos estos datos, entre otras cosas, podrían ser utilizados para promover ataques de phishing a los usuarios afectados, suplantando la identidad de Sony u otra empresa, y así robar (más) datos a los usuarios afectados. Además, toda esta información expuesta puede ser comercializada (en algunos foros se observaron “ofertas” de cien mil dólares por datos de este ataque) y exponer al usuario a todo tipo de incidentes asociados al robo de identidad.

Sin embargo, la empresa tampoco descartó que se hayan extraído otros datos más sensibles, tales como, el historial de compras o los datos de las tarjetas de crédito, ya que manifestó que “no podemos obviar esa posibilidad”. De todos modos, resulta curioso con qué certeza conocen qué datos se extrajeron, y que a pesar de ello, no puedan verificar si los datos más sensibles han sido expuestos, algo que podría ayudar mucho a los usuarios. De hecho, a las pocas horas de haberse conocido el incidente, ya comenzaron a aparecer reportes de usuarios afectados identificando gastos no realizados en sus tarjetas de crédito, por lo que podría concluirse que estos datos también fueron robados.

Frente a esta situación, ¿qué pueden hacer los usuarios afectados? Es importante que todo aquel que tenga una cuenta en la PlayStation Network, modifique con urgencia la contraseña, y si la misma combinación de usuario y clave fuera utilizada para otros servicios, resulta necesario cambiar también allí los datos de acceso. Por otro lado, es recomendable tomar todas las precauciones para verificar que los correos electrónicos recibidos sean legítimos, y es bueno saber que la empresa nunca solicitará datos sensibles por este medio.

Sebastián Bortnik se desempeña actualmente como coordinador de Awareness & Research para Latinoamérica de ESET, dedicada al desarrollo, investigación y comercialización de soluciones de protección antivirus y seguridad informática. Anteriormente, se desempeñó como jefe de Sistemas en una empresa de telecomunicaciones y, posteriormente, fue consultor y especialista de seguridad de una compañía dedicada a infraestructura. Posee especializaciones en redes y seguridad de la información.

Muchos usuarios se preguntan si no es exagerado cancelar la tarjeta de crédito. En este sentido, es bueno preguntarse qué harían si por unas horas no encontraran su tarjeta y sospecharan haberla perdido. Seguramente frente a esa situación la misma sería cancelada y, teniendo en cuenta que todo indica que los datos han sido comprometidos, lo más prudente es cancelar la tarjeta de crédito con la entidad bancaria.

Una vez más grandes empresas son víctimas de ataques que exponen la seguridad y privacidad de sus usuarios. Sin dudas, esta situación nos lleva a reflexionar y a tomar conciencia sobre la importancia cada vez mayor de desarrollar planes de acción, tanto a nivel personal como corporativo, a fin de mantener un entorno seguro. Desde el caso Wikileaks, a finales del último año, los casos de fuga de información han comenzado a tomar más relevancia a nivel mundial pero, a no confundirse, estos incidentes llevan años entre nosotros y son muchas las empresas que se han visto afectadas. La pregunta que nos queda responder es por qué la fuga de información sigue ocurriendo, especialmente en empresas de tanto prestigio. No se trata de una única causa pero sin lugar a dudas la falta de conciencia, los bajos recursos asignados a la seguridad, y la falta de reclamos de los usuarios ante estos incidentes, son aspectos que colaboran.

Finalmente, os problemas de enfoque de la seguridad siguen siendo relevantes. Muchas empresas invierten mucho dinero en seguridad, y aún así los datos no están protegidos. Los procesos asociados a la valuación de la información y evaluación de riesgos no se están haciendo como se debe, y entonces los usuarios se ven expuestos a incidentes como el de Sony que, lamentablemente, y por el momento, no será el último.

Más información: blogs.eset-la.com.