Cargando...

Sony reconoce el robo de datos de tres millones de españoles

Ciberladrones han accedido a la información confidencial de los clientes de la red de Playstation, incluidos los números de tarjeta bancaria de 330.000 usuarios en España. La Agencia de Protección de Datos investiga el ca

Publicidad

La Agencia Española de Protección de Datos (AEPD) ha decidido investigar a Sony por el robo de datos de los usuarios de su PlayStation Network (PSN). La compañía ha reconocido que la base de datos de sus 77 millones de clientes de todo el mundo ha sido asaltada por unos intrusos, y no descarta que se hayan llevado la información de las tarjetas de crédito. De los tres millones de españoles que juegan en PSN, unos 330.000 habían pagado con tarjeta su derecho a jugar.

Publicidad

Una semana ha tardado Sony en reconocer que tenía un serio problema. Los clientes de su plataforma de juegos online empezaron a notar que las conexiones no iban bien el 19 de abril. Aunque no se ha sabido hasta ahora, cuando lo ha reconocido la compañía en su blog oficial, intrusos aún no identificados habían conseguido entrar en sus servidores y se lo habían llevado todo: "A pesar de estar todavía investigando los detalles de este incidente, creemos que personas no autorizadas han podido obtener vuestra información personal: nombre, dirección (ciudad, provincia, código postal), país, dirección de correo electrónico, fecha de nacimiento, nombre de acceso y contraseña de PlayStation Network/Qriocity, y PSN ID [un identificador de la red]", explican. Fue esta pérdida de datos la que obligó a Sony a cerrar temporalmente PSN y no un fallo técnico, como se dijo en un principio.

Click to enlarge
A fallback.

La empresa ha tardado una semana en reconocer la intrusión

Además, la compañía japonesa no descarta que también se hayan llevado datos financieros de sus usuarios. "Es también posible que vuestros datos de perfil, así como historial de compra, dirección de cobro (ciudad, provincia, código postal) y preguntas de seguridad de acceso a vuestras cuentas de PlayStation Network/Qriocity hayan sido obtenidos", sigue escribiendo en el blog el director de comunicación, Patrick Seybold. Incluso el número de la tarjeta bancaria y su fecha de validez también podrían haber volado. Desde la compañía explican que esto aún no se ha confirmado. Tampoco tienen el código de seguridad, el CVV que hay que indicar al comprar en muchas tiendas de internet.

Publicidad

Según datos de la compañía, el número de posibles afectados es enorme: PSN tiene 77 millones de usuarios en todo el mundo. De los 32 millones de europeos que juegan online o ven películas en la plataforma de Sony, tres millones son españoles. Y de estos, 330.000 han facilitado los datos de sus tarjetas a la compañía. "No tenemos constancia de que ninguno de los clientes españoles haya sufrido algún movimiento extraño en su cuenta", explica una portavoz de Sony. Sin embargo, en algunos foros aparecían ayer las primeras quejas de cargos indebidos. La empresa nipona pide a sus clientes que vigilen bien sus cuentas para detectar movimientos sospechosos.

Ante la preocupación suscitada, la AEPD decidió ayer "iniciar actuaciones para determinar si se han visto afectados derechos de ciudadanos, posibles vulneraciones de la Ley de Protección de Datos (LOPD) y las responsabilidades atribuibles", dijo un portavoz de la agencia. Pero, desde un punto de vista legal, las cosas no están del todo claras y Sony podría escaparse. "Primero habrá que saber si la AEPD es competente para investigar a Sony", explica el abogado especialista en privacidad Samuel Parra. Si Sony tiene los datos de los usuarios, aunque sean españoles, en servidores de Japón y los gestiona desde allí y no una filial suya en territorio español, "la AEPD no podría actuar contra la compañía", opina Parra.

Publicidad

Sony podría evitar la sanción española si los datos están en Japón o EEUU

Además, no se estaría ante la vulneración del derecho a la intimidad y la privacidad, sino el de protección de datos. El principio de seguridad, que obliga a las compañías que tienen los datos personales a una custodia efectiva, está regulado en la LOPD (Ley Orgánica de Protección de Datos) y exige al responsable del fichero instalar las medidas de protección adecuadas. "Es una obligación de resultado, que exige a la compañía hacer lo que sea para protegerlos", dice Parra. Y esa posible negligencia habrá que probarla. En el caso de que se pruebe, Sony habría incurrido en una falta muy grave y podría ser sancionada con 300.000 euros. "Aunque haya un millón de españoles afectados, sólo habrá una única sanción", recuerda Parra.

Publicidad

Aunque el comunicado de Sony abunda en disculpas y consejos, apenas da una explicación de lo ocurrido, alegando que lo está investigando. Pero, como explica el director de Hispasec, Antonio Ropero, "las compañías suelen minimizar el número de afectados cuando sufren un ataque y Sony ha reconocido que, en este caso, ha afectado a todos". Esto implica que los ciberdelincuentes han tenido acceso a toda la base de datos. Si los intrusos han podido hacerse con los datos de 77 millones de personas, algo ha debido de hacerse mal. "Las empresas, al menos la mayoría, protegen sus servidores", recuerda Luis Corrons, de Panda. El método más habitual es usar una contraseña para acceder a cada fichero personal y esta clave se cifra con un algoritmo matemático. "Esto hace que, si la información es robada, sea inservible", explica Corrons. No parece que sea el caso de Sony.

Hay otro problema que destacan los expertos y que ha sido pasado por alto. Por razones de economía mental, la mayoría de las personas usan las mismas claves para los diferentes servicios de internet, desde cuentas del banco a chats. Ahora alguien tiene en su poder las contraseñas de millones de personas.

Publicidad

En cuanto a los culpables, hay quienes señalan al grupo Anonymous. Hace unas semanas, miembros de este colectivo lanzaron un ataque masivo contras las redes de Sony para protestar por la persecución que mantenía contra el hacker GeoHotz, un joven de 18 años que, en enero, hizo públicas las claves de la PlayStation. Anonymous cesó la ofensiva para evitar perjudicar a los jugadores de la PSN. De hecho, en un comunicado en el que tildaron a Sony de incompetente, el grupo aseguró la semana pasada: "Por una vez, nosotros no fuimos".

Por otro lado, según informaba ayer el diario The Guardian, también XboX Live, la plataforma de Microsoft, ha sido atacada. Los usuarios del juego Modern Warfare 2 estarían expuestos a recibir ataques de phishing, un tipo de estafa en internet. Aunque parece un caso puntual, la paranoia se está instalando entre los jugones.

Publicidad

Información robada

Los intrusos tienen en su poder el nombre y la dirección de los usuarios. También tendrían su dirección de correo electrónico y las claves de acceso a PSN.

Publicidad

Posiblemente robada

Sony reconoce que hay muchas posibilidades de que también se llevaran el historial de compra y dirección de cobro del cliente. Además se habrían hecho con las preguntas de seguridad de acceso a la red de PlayStation Network y Qriocity, un servicio para comprar música y películas bajo demanda.

Publicidad

No confirmado por Sony

La compañía no reconoce, pero tampoco niega, la posibilidad de que hubieran robado también los números de las tarjetas de crédito con las que se ha operado en PSN, así como su fecha de validez. Niegan que el código de seguridad o CVV (el número que aparece en la parte posterior de las tarjetas) se haya visto comprometido. 

Publicidad

Sony recomienda que los usuarios tengan cuidado con los correos electrónicos que reciben, pues pueden esconder un intento de estafa. También alertan contra posibles llamadas telefónicas en su nombre pidiendo información personal.

Asimismo sugiere revisar el saldo y los movimientos de la cuenta. En los foros también se aconseja anular la tarjeta de crédito o débito.

Publicidad

Otra recomendación es cambiar las claves de acceso a PlayStation Network, pero habrá que esperar a que esté operativa. No hay fecha prevista.

Como consejo final: es importante cambiar todas las contraseñas y nunca utilizar las mismas para diferentes servicios. 

El primer gran robo: Sears

El robo de datos sensibles no es, ni mucho menos, una novedad. En los años ochenta, la introducción de computadoras en las grandes compañías de EEUU trajo la digitalización de los datos y, también, una oleada de ataques. El más grave se produjo en junio de 1984, cuando unos piratas informáticos se introdujeron en la base de datos de la mayor compañía crediticia de EEUU que gestionaba, entre otras, las tarjetas de la compañía de grandes almacenes Sears. Los piratas robaron datos de 90 millones de clientes, aunque la compañía aseguró después que no se habían utilizado.

130 millones de datos en el mayor caso registrado

La llegada de internet ha multiplicado exponencialmente los ataques de ‘crackers', que buscan redes poco protegidas y rebosantes de datos. Dos rusos y un estadounidense son los responsables del mayor caso registrado hasta el momento de robo de datos personales, producido en 2009. Los delincuentes explotaron un agujero de seguridad en varias bases de datos y penetraron en los servidores de cinco compañías -aunque sólo se desveló el nombre de tres: 7-Eleven, Heartland Payment Systems y Hannaford Brothers-. Robaron los números de tarjeta de crédito de 130 millones de estadounidenses.

En cadenas de descuento

El segundo peor caso de robo de datos conocido hasta el momento afectó a la compañía TJX, que posee varias cadenas de descuento en EEUU, como la popular Marshalls. Los delincuentes robaron datos de tarjetas de crédito y de débito, así como de cheques y transacciones bancarias. El agujero de seguridad estuvo abierto entre mayo y diciembre de 2006, y afectó a 94 millones de clientes.

La lista VIP del iPad

Entre los casos más recientes y sonados de pérdida de datos se encuentra el problema que tuvieron Apple y AT&T el pasado año con un grupo de clientes VIP. Ciberdelincuentes explotaron una vulnerabilidad de la red telefónica de AT&T para acceder a los datos de 114.000 clientes célebres que iban a recibir un iPad 3G, entre ellos el alcalde de Nueva York, Michael Bloomberg, y el productor de Hollywood Harvey Weinstein. Entre los datos comprometidos se encontraban el correo electrónico y la contraseña de acceso al producto. El FBI abrió una investigación.

Los problemas de los hackers

Los expertos hackers de la web de descargas The Pirate Bay también han sufrido ataques en su propia web. En marzo de este año, los datos de algunos usuarios fueron robados y recibieron spam en sus buzones de correo electrónico.

El último caso

El pasado jueves, un pirata estadounidense se declaró culpable de haber robado datos en internet desde 2002. Según el fiscal del caso, el acusado llegó a acumular 675.000 números de tarjetas de crédito. 

Publicidad