miércoles, 11 de mayo de 2011

Intrusión en PlayStation Network: como recurso didáctico para la educación social

Lo ocurrido las pasadas semanas en Playstatio Netwoek es un magnífico recurso didáctico para profundizar en las fortalezas y debilidades de la Red. El alumnado de ESO, con esta noticia tan cercana para ellos (en España hay ¡3 millones de afectados! y es de suponer que jóvenes), puede ser un buen mecanismo para insistir en las prevenciones sobre la red, en cultivar nuestros sistemas de seguridad, para mejorar nuestra ciudadanía virtual.

77 millones. Es la cifra más repetida mediáticamente en la última semana, desde que un sofisticado ataque a la seguridad de Playstation Network comprometiese la información de todos sus usuarios. Nadie podía sospechar el pasado día 20, cuando la red fue desconectada sin previo aviso, que detrás se encontraba algo más que las tareas de mantenimiento referidas por el mensaje de turno.

Los usuarios empezaron a oler a chamusquina unos cuantos días después. Pronto se confirmó lo impensable: Sony había sufrido una de las brechas de seguridad más notorias en la historia reciente del entretenimiento electrónico, tanto que pocos se atrevían a vaticinar las consecuencias.

El tema no ha abandonado el torrente informativo ni un sólo día. Hoy mismo sigue coleando de formas aún más vergonzantes, con la confirmación de que Sony Online Entertainment también ha tenido que ser cerrada a colación de ataques (a priori independientes a los que nos ocupan) que habrían comprometido 24.6 millones de cuentas en todo el mundo. 12.700 números de tarjetas de crédito y casi 11.000 registros de cuentas bancarias de clientes de EspañaAlemaniaHolanda y Austria estarían en posesión de los responsables de esta intrusión, que ha afectado a 174 usuarios españoles.

El mismísimo Congreso de los Estados Unidos no ha tardado en poner cartas en el asunto (como muchos otras instituciones y órganos gubernamentales) remitiendo al propio presidente de Sony, Kazuo Hirari, un listado de interrogantes concernientes a la identidad de los atacantes, fecha exacta de la intrusión y si a estas alturas se tiene constancia fidedigna o no de sustracciones bancarias.

Sony ya se pronunció largo y tendido anteayer, en una rueda de prensa que al parecer aún no ha terminado de esclarecer la cuestión para muchos. Vamos a intentar hacerlo nosotros:

¿Qué ha ocurrido?

El pasado día 20 de abril toda la comunidad Playstation Network recibió un mensaje de mantenimiento al intentar conectarse a la plataforma de juego online. Pensando que se trataba de una incidencia menor, apagaron sus consolas y volvieron a intentarlo horas más tarde sin diferencia alguna. Aún no lo sabían, pero Sony había procedido a desenchufar su red al detectar un ataque remoto de consecuencias inciertas.

La intrusión se produjo entre el 17 y el 19 de abril, detectándose el mismo día 20. Tras el apagón se optó por contratar a una firma experta en seguridad que evaluase el ataque, destapase a su responsable y consiguiese sellar la brecha abierta. Las conclusiones fueron desalentadoras: se trataba de una maniobra altamente sofisticada llevada a cabo por alguien que sabía lo que hacía, un hacker que por supuesto no había reparado a la hora de ocultar su rastro.

24 de abril: mientras los usuarios seguían mosqueados (aún no preocupados) por la caída del servicio, Sony recurría a dos compañías adicionales que terminaron confirmando las peores sospechas. Los atacantes se habían hecho con información personal de usuarios, datos que el gigante nipón custodiaba en sus servidores de San Diego.

Dos días después, el 26 de abril, Sony se decidía a hacer público el robo: nombres y direcciones (físicas y de correo electrónico) fechas de nacimiento, nombres de usuario y contraseñas de PlayStation Network y Qriocity estaban en posesión de los asaltantes. Lo más peliagudo sin duda, el que no pudiese negarse categóricamente el robo de los números de tarjetas bancarias, recomendándose la exhaustiva vigilancia de extractos bancarios.

Tranquilizaba Sony diciendo que el código de verificación de las tarjetas no había sido sustraído y pedía perdón encarecidamente a través de mensajería electrónica masiva a los 10 millones de cuentas que se presupone habían registrado datos bancarios.

Varias comunidades de hackers no tardaron en atribuirse falsamente los ataques, sembrando el desasosiego al confirmar tener en su posesión los datos bancarios de más de 2.2 millones de cuentas. Llegó a circular por Internet una lista con abundante información personal que al poco se demostraba desconexa de la intrusión.

Medios de comunicación generalistas (los especializados ya llevaban muchos días informando al minuto) comenzaron a hacerse eco de la noticia y las acciones de Sony en bolsa se resintieron ostensiblemente por la falta de información y la tardanza con que ésta se había hecho pública. Clases políticas de todo el globo se sumaron a las protestas, iniciando investigaciones y augurando ostensibles multas si se demostraba algún tipo de irregularidad.

Ante tal clima de presión, Sony decide ofrecer una segunda oleada informativa el pasado domingo, ya en el marco de una tensa rueda de prensa, de esas a las que asistes sin saber exactamente por cuanto se prolongará. Allí se concretó gran parte de la información que os hemos ofrecido, supimos que el FBI ya estaba investigando la cuestión y se concretaron medidas y compensaciones. También se negó cualquier implicación del grupo activista Anonymous, que en un principio se creyó responsable de los ataques tras haber orquestado previamente varios del tipo DDoS de los que luego terminaría arrepintiéndose por el malestar causado a los usuarios.

En el ámbito financiero, numerosas compañías han estimado compensacionesKristopher Johns de Birmingham (Alabama) el primero en interponer una contra la compañía que no ha sabido “proteger, encriptar y asegurar la privacidad de la información de sus usuarios”.

Pero volviendo a la rueda de prensa, en ésta se dieron a conocer datos como el número de cuentas afectadas por países (España suma casi 3 millones) y el método por el cuál había tenido lugar la intrusión. Referimos por un momento a nuestro compañero Fabián, de Ecetia, que explica el gráfico publicado por Sony al respecto:
Cuando conectamos la consola a la red interactuamos con un servidor que escucha nuestras peticiones y responde a las mismas por medio del protocolo HTTP. Básicamente es lo mismo que cuando navegamos por internet solo que en ese caso el que dialoga con el web server es nuestro navegador. El application server toma los requerimientos que se le hacen al web server y ejecuta el código necesario para devolverle a este último los mensajes que debe retornar al usuario. Estos requerimientos pueden -de hecho el 99 por ciento de las veces es así - necesitar consultar o incluso escribir datos en la base de datos. Para eso precisamente está el database server. Que no es otra cosa que el repositorio de información que necesita la red para funcionar y almacenar los datos de los aplicativos y los usuarios.
Entre cada uno estos equipos hay un firewall, componentes que tienen la función de no permitir que se hagan otras operaciones entre los servidores más allá de las permitidas. Por lo que puede verse en el gráfico, los hackers habrían violado de alguna forma el firewall entre el web server y el application server y aprovechando una vulnerabilidad del mismo pusieron en funcionamiento una herramienta que extrajo los datos directamente desde la base de datos y la publicó hacia la web.
Sony sigue trabajando para restablecer Playstation Network, que se espera vuelva de forma limitada, aunque completamente reestructurada y enriquecida a largo plazo.

La respuesta de Sony

¿Qué pasó entre el 24 y el 26 de abril? Por qué siendo ya consciente de la gravedad de la intrusión, no alertó Sony a sus usuarios. Por qué esperó hasta el 26 de abril para reconocer el embrollo en que se encontraba. Son preguntas que todos nos hacemos y que ya hartamente se han reprochado a la compañía, que en los últimos días ha optado por una actitud completamente transparente. Tendremos que aferrarnos al más vale tarde que nunca…

La primera acción de Sony, una vez investigado el ataque, fue comenzar un proceso de reestructuración forzosa en PSN que ha modificado por completo la infraestructura de la plataforma, que podría regresar con nuevas funcionalidades tales como chat de voz y vídeo ingame.

En segundo lugar ha procedido al traslado de su centro de datos (que ya hemos ubicado en San Diego) por una localización altamente secreta provista de las más avanzadas medidas de seguridad física y de sistemas.

Una vez vuelva PSN, todos los usuarios se verán obligados a instalar una actualización de software que les obligará a cambiar la contraseña de sus cuentas.

Consciente además de que pidiendo perdón no va a ningún sitio, la compañía estudia costear los gastos que pueda suponer a los usuarios la cancelación de sus tarjetas de crédito, algo que bien podría perecer como mera posibilidad dado el enorme desembolso que supondría. También se ofrecerá lo que se ha venido a llamar “Welcome Back” o pack de bienvenida, en el que además de ciertos contenidos gratuitos, cada usuario recibirá un mes de suscripción a Playstation Plus, sección exclusiva de Playstation Store desde la que adquirir contenidos con importantes descuentos o bien acceder a éstos con antelación.

Esta última medida ha sido acogida con cierto rechazo por parte de la comunidad, que entiende la compensación casi como una burla. Playstation Plus nunca ha sido especialmente valorado y el que puedan fomentarse las suscripciones premium a costa de semejante ataque se antoja casi una falta de respeto.

Por último y como parte de las medidas orientadas a que algo así no vuelva a pasar, Sony ha prometido colaborar con todas las plataformas online en pos de preservar la privacidad y seguridad, tal vez promoviendo alguna organización que se encargue de velar por las mismas. Todos en la compañía esperan ahora que la investigación en curso dé con el culpable y termine con los claroscuros restantes.

Recomendaciones

Queremos recordar por último qué debería haber hecho ya todo usuario afectado por la intrusión. En primer lugar cambiar la contraseña de todos aquellos servicios (especialmente clientes de correo) que compartiese con Playstation Network o bien aquellas que estén de una u otra forma relacionadas con la información sustraída (fecha de nacimiento, nombre y apellidos…).

El siguiente paso es, si se tuviese la tarjeta de crédito asociada a PSN, proceder a darla de baja  de forma inmediata. Es cierto que Sony ha recomendado vigilar extractos bancarios con regularidad, pero nada nos garantiza el que de un vistazo a otro no se haya producido algún cargo indeseado. Suspendido el número de tarjeta, resuelto el problema. En muchos casos vuestro banco consentirá en el proceso sin cargo alguno. Otra opción, observado algún movimiento fraudulento, es solicitar a vuestra entidad que impida futuros cargos similares.

Respecto a la posibilidad de emprender la vía legal contra Sony, bien por la fragilidad de su sistema, bien por su negligencia comunicativa, se desaprueba objetivamente. Es cierto que existen demandas colectivas pero difícilmente lleguen a buen puerto, así que los titulares seguramente terminarán perdiendo dinero más que siendo compensados. Recordar de hecho que Sony se excusó de cualquier responsabilidad, acorde a los términos y condiciones de PSN que todos aceptamos en su día sin leer siquiera, como solemos hacer siempre.

A los demás, simplemente sed pacientes. Más vale esperar y dejar que Sony haga bien su trabajo, a que las prisas puedan volver a inmiscuirnos en tan desagradable situación.

No hay comentarios: