De los Santos, experto en seguridad: "Con cifrar no basta"

intrusión externa' en Playstation Network no sólo ha dejado inoperativa la red de Playstation 3, sino que también ha puesto contra la espada y la pared a Sony, pues la multinacional reconoció que los ciberatacantes habían podido acceder a información sensible de los jugadores. PSN y sus más de 70 millones de suscriptores conocían con asombro la noticia y advertían la gravedad del hecho solicitando respuestas, explicaciones y recomendaciones a la responsable de Playstation.

Con los consejos y las recomendaciones de Sony sobre la mesa, hemos querido conversar con Sergio de los Santos, experto en seguridad informática y coordinador del SOC (Security Operation Center) de la firma Hispasec. Esta misma mañana la casa de Playstation confirmaba que los datos de los usuarios estaban protegidos bajo encriptación. De los Santos apunta en este sentido: 'Esto es casi un deber de cualquiera que almacene contraseñas. En cualquier caso, con el dato 'cifrado' en la mano, es posible aplicar fuerza bruta y, si la contraseña es débil, obtenerla en claro'.

Con todo, el profesional aclara a MeriStation que 'el buen cifrado no es reversible de ninguna forma" y añade 'Un buen cifrado significa: Se ha usado criptografía pública (simétrica o asimétrica), estándar y probada; Se han usado programas públicos y comprobados que implementan esa criptografía; Se han usado contraseñas robustas'. En su opinión, 'Si se ha cifrado 'mal', es como si no se hubiese cifrado. Si se ha cifrado bien, no hay forma de revertir el proceso'.

Sea como fuere, De los Santos considera que 'con cifrar no basta' pues 'es solo una capa más (aunque es cierto que muy robusta si se hace bien)'. A esto añade que 'sería necesario complementarlo con el resto de medidas estándar de seguridad'. La primera recomendación para los usuarios es cambiar la contraseña de otros servicios si coinciden con la de PSN: 'Es decir, si el usuario tenía la mala costumbre de usar una misma contraseña para su correo y para PSN, por ejemplo, debe cambiar inmediatamente la de su correo y la de PSN también (en cuanto vuelva a estar operativo)'.

'Si además alguna vez le dio la tarjeta de crédito a Sony, debe revisar diariamente los movimientos de la cuenta asociada y rechazar cualquier movimiento no autorizado cuanto antes. Si es posible y no supone un excesivo coste o molestia, incluso cancelar la tarjeta y obtener una nueva', expone el experto en seguridad y redes. Ayer la firma de seguridad Sophos también recomendó la cancelación de las tarjetas de crédito, así como la modificación de contraseñas.

Llegados a este punto, millones de jugadores se preguntan sobre las acciones que se podrían realizar una vez filtrados los datos de PSN. Las compras no autorizadas con las tarjetas de crédito son posibles, aunque De los Santos realiza una interesante matización: 'Sony (ni ninguna empresa) guarda el CVV de la tarjeta. Como cada vez son más servicios online los que exigen este código para realizar el pago, cada vez es más difícil comprar online sólo con el número de tarjeta y fecha de caducidad'.

No obstante, 'otra posibilidad es vender esa información a terceros' pues 'los números de tarjeta de crédito 'sin usar' (por atacantes, se entiende) son muy cotizados. Hay atacantes que prefieren vender el número de tarjeta (la información) a usarlo en tiendas online, por ejemplo. Los números de tarjeta sin CVV asociado, son menos valiosos'. La utilización de otros datos del usuario (nombre, edad, email, etc.) pueden igualmente 'ser vendidos por lotes o usados para suplantar la identidad'.

El phishing, que casualmente pudo afectar a Xbox Live según Microsoft, puede 'aumentar la tasa de éxito de los atacantes'. 'Quizás, si un día recibimos por ejemplo un correo que viene de alguien que conocemos (porque el atacante ha entrado en su cuenta) diciéndonos que visitemos una web, siempre será más creíble que cuando viene de un desconocido', explica. Y es que, en la opinión del experto, los datos de usuarios pueden ser vendidos incluso 'a empresas legítimas (aunque con pocos escrúpulos) que realizan minería de datos y envían correos no solicitados, crean perfiles de usuarios, etc, para poder hacer un uso comercial de esta información'.

Los culpables del asalto a PSN siguen en el anonimato. GeoHot, el hacker que desbloqueó la seguridad de PS3, y los ciberactivistas Anonymous se han desmarcado del ataque con rotundidad. ¿Darán frutos las fuertes investigaciones que está realizando Sony en colaboración con organismos policiales de todo el mundo? 'Es muy posible que lleguen a comprender cómo ha ocurrido exactamente y a qué datos han tenido acceso. Otro asunto es saber quién. Esto es más complejo y, si el atacante ha tomado las precauciones mínimas, puede que imposible'.

De los Santos admite que en estas intrusiones 'se puede entrar sin dejar rastro' aunque reconoce que 'es sencillo" dejar pistas aunque difícil 'poder saber quién las dejó' No en vano, y según el experto en seguridad, se trata de uno de los data breach más significativos de la historia: "Parece que este es el data breach (fuga de datos) más grande conocido. Hay que tener en cuenta que hasta 2005 aproximadamente, las empresas no estaban obligadas a notificar públicamente sus fugas de datos, por tanto, no podemos estar seguros que, antes de 2005, no existiera un problema similar. Sin embargo desde entonces, seguro que es de los más grandes detectados'.