Buscar

2011/05/02

Los piratas aprovecharon un fallo conocido

Los máximos mandatarios de Sony reconocieron ayer que los piratas que se hicieron con la base de datos de 77 millones de usuarios de Play-Station Network (PSN) usaron una vulnerabilidad que era conocida en el sector de la seguridad informática, pero no por la propia compañía. En su primera aparición pública desde que los intrusos se pasearan por sus servidores hace dos semanas, aseguraron que su departamento de gestión desconocía el fallo. Tras pedir disculpas, estimaron que la red estará a pleno funcionamiento a finales de mes y que regalarán un mes de suscripción a sus clientes.
En una esperada rueda de prensa celebrada en Tokioy retransmitida en directo por varios blogs tecnológicos, el vicepresidente ejecutivo de Sony Computer Entertainment, Kazuo Hirai, pidió perdón a los usuarios de PSN. "Lamento profundamente las preocupaciones y molestias a nuestros usuarios", dijo un compungido Hirai, señalado por muchos para ser el futuro presidente de toda la corporación Sony. El ejecutivo reconoció que habían sido golpeados por alguien de gran capacidad técnica y que habían necesitado la ayuda de expertos externos en seguridad informática para valorar el alcance de la intrusión y frenar sus daños. Volvió a insistir en que no se podía asegurar que los datos de las tarjetas bancarias hubieran sido robados. Pero dio un dato nuevo: diez millones de personas les habían confiado su información financiera con algún pago. El resto de la información personal la daban por perdida.

El detalle más revelador se produjo durante el turno de preguntas, cuando los periodistas inquirieron sobre cómo fue el ataque. Aunque no quiso dar muchos detalles, el responsable de la oficina de información, Shinji Hasejima, reconoció que los piratas habían aprovechado un fallo del software del servidor de aplicaciones. Este tipo de servidores hace de enlace entre internet y la red interna de la plataforma de juegos. "Había una vulnerabilidad conocida que nosotros ni sabíamos que existía en el sistema", dijo Hasejima. Los expertos hablan de vulnerabilidad cuando algún programa o servicio web presenta un fallo en el diseño de su código que podría ser aprovechado por alguien con intención maliciosa. Los ejecutivos de Sony reconocieron que tal vulnerabilidad era conocida en el sector de la seguridad, pero no por su propio equipo de seguridad.
Tras una auditoría técnica, Sony ha decidido poner en marcha una serie de medidas de seguridad para proporcionar una mayor protección a los datos personales. La compañía y los auditores "han llevado a cabo pruebas exhaustivas para comprobar la fuerza de seguridad de la red y servicios de PlayStation y Qriocity [servicio de música]", asegura la empresa en una nota posterior a la rueda de prensa. Entre esas medidas están un nuevo programa para vigilar el tráfico de la red para detectar patrones de conducta sospechosos, instalar nuevos cortafuegos y software para detectar intrusiones y encriptar una mayor cantidad de datos. Entre lo que cifrarán para el futuro estarán las contraseñas y nombres de usuarios, que aparecían hasta ahora en texto plano. También crearán la figura del jefe de seguridad de información. Sorprende que una empresa tecnológica de tal calibre no tuviera ya ese puesto.
Cuando se les preguntó por las responsabilidades, los ejecutivos de Sony volvieron a insistir en que aún no han tenido noticias de algún fraude. "Garantizamos la privacidad a los usuarios de las tarjetas de crédito, también garantizamos las pérdidas relacionadas con el cierre del servicio", dijo Hirai. En el caso de que se produjera alguna pérdida por un uso posterior de la tarjeta, dijo Hirai, ellos se harían cargo, pero añadió que se analizaría "caso por caso". La misma expresión se utilizó cuando se les preguntó si Sony pagaría los costes por dar de baja la tarjeta comprometida y cambiarla por una nueva.

Impacto global

Lo que no reveló Hirai es el coste al que se enfrenta Sony por este fiasco. A las pérdidas por el cierre temporal del servicio habrá que sumar el coste en caso de que se hagan cargo de la renovación de las tarjetas o las posibles indemni-zaciones que pudieran resultar de las dos demandas colectivas que se han presentado hasta ahora. Tampoco quiso decir cuántos usuarios de PSN se habían dado de baja. Pero Sony no será la única dañada. "Este acto criminal contra nuestra red ha tenido un impacto significativo no sólo en nuestros consumidores sino en la industria en su totalidad", dijo Hirai.
"A corto plazo, el impacto negativo lo sufrirá Sony, pero la industria en su conjunto se verá afectada a más largo plazo", dijo a Reuters Kazutaka Oshima, presidente de Rakuten Investment Management, una empresa de comercio online. Para él, la desconfianza se extenderá por toda la red.

Sony quiere recuperar la confianza de los usuarios de PSN sobre esta base de seguridad renovada. Para ayudar en la labor, los diferentes servicios de PSN irán abriendo progresivamente. La semana que viene esperan que los juegos online estén operativos. Son el elemento fundamental de la red, el centro de la estrategia de un gigante como Sony que, por un lado, fabrica aparatos electrónicos y, por otro, contenidos para reproducir en ellos. Asimismo en los próximos días estará lista la música en streaming del servicio Qriocity y también el alquiler de películas. A final de mes confían en que todos los sistemas estén funcionando. Sony ofrecerá un mes gratis en la mayoría de los servicios premium como compensación por los problemas causados.
Los usuarios parecen haber acogido la noticia de la vuelta de PSN con alborozo. Si se ojea la página que tiene PlayStation en Facebook(seguida por más de 13 millones de personas) abundan más las muestras de alegría al saber que pronto podrán volver a jugar que las quejas o los amagos de irse a otras plataformas, como la de Xbox.

Publico

No hay comentarios: