Sony, el gigante de la electrónica japonesa, es el protagonista principal de uno de los mayores ataques informáticos de la historia. El objetivo de los delincuentes fueron PlayStation Network (PSN) y Sony Online Entertainment (SOE). Los usuarios afectados ya ascienden a 100 millones.

¿Qué buscaban los ciberladrones? El nombre, la dirección, el correo electrónico, la fecha de nacimiento y las contraseñas para entrar a esas redes y, lo más redituable, datos de tarjetas y cuentas bancarias.

Concretamente, PlayStation Network, el servicio de juego online de PlayStation 3, y Qriocity sufrieron un ataque de seguridad entre el 17 y el 19 de abril en el que se robaron datos de unos 75 millones de usuarios.

El grupo japonés confirmó el ilícito siete días después. De forma paralela, entre el 16 y el 17 del mes pasado, los servidores de la compañía de juegos online del grupo, Sony Online Entertainment (SOE), registraron una ofensiva distinta en la que se sustrajo información de 24,7 millones de usuarios. Sony anunció este ataque el 2 de mayo.

En ambos casos, la compañía cerró los servicios en línea de forma preventiva, recomendó a los usuarios que estuviesen atentos a movimientos extraños en sus cuentas y anunció medidas compensatorias para los clientes afectados, como 30 días gratuitos de PlayStation Plus o un mes de suscripción a los servicios de SOE.

Tras esta ola de ataques, según informó la cadena británica de radiodifusión BBC, la firma contrató a varios detectives de ciberseguridad de firmas como Guidance Software y Data Forte, entre otras.

Además, la Agencia Federal de Investigaciones de los Estados Unidos (FBI, sigla en inglés) informó que está investigando esta brecha de seguridad y robos en los servicios, que incluyen datos de tarjetas y cuentas en bancos.

Sony anunció el 1 de mayo que, a lo largo de esta semana, se comenzarán a restablecer algunos servicios de PlayStation Network. Se desconoce, en cambio, cuándo volverán a funcionar los de Sony Online Entertainment, cuyo ataque se conoció tan solo un día después del anuncio del progresivo restablecimiento de PSN.

La multinacional japonesa relaciona los ataques con el grupo activista Anonymous, según informó la compañía al Congreso de los Estados Unidos.

En una carta enviada a los parlamentarios del país norteamericano para dar detalles del incidente, la compañía explicó que durante la investigación de lo ocurrido halló un archivo dejado por los asaltantes que llevaba por nombre Anonymous y que en su interior contenía el lema del grupo activista: "Somos legión".

Anonymous, que mantiene desde marzo un litigio con Sony, se apresuró a rechazar cualquier vinculación con el ciberataque, igual que el "hacker" George Hotz (GeoHot), quien llegó a ir a juicio denunciado por la empresa nipona por divulgar cómo desbloquear las medidas antipiratería de la consola PlayStation 3.

En su texto, la empresa se mostró escéptica sobre la posibilidad de conocer la identidad real de quienes perpetraron la acción, ya sea que fuera parte de una "conspiración" o un mero robo de datos privados encubierto, como una acción de Anonymous.

La compañía dijo que había sido "víctima de un ciberataque criminal cuidadosamente planeado, muy profesional y altamente sofisticado diseñado para robar información personal y de tarjetas de crédito para fines ilegales".

Anonymous no descartó la posibilidad de que alguno de sus miembros pudiera encontrarse detrás de la brecha en los sistemas de Sony. En un video difundido en en Internet, el 14 de abril, el grupo amenazó a la compañía japonesa con "el mayor ataque" de su historia "al estilo Anonymous" y Hotz abrió un blog animando a boicotear a la firma.

Impacto mundialDesde la filial local del gigante japonés informaron a iProfesional.com que no hay PS Network en la Argentina. La base instalada de la videoconsola PS3 en el país es de 56 mil unidades aproximadamente. Pero el especialista en seguridad de la información Agustin Chernitsky estimó que superarían los 101.200 en el ámbito local.

En un blog, http://blog.latam.playstation.com/, la compañía no descartó el robo de datos de tarjetas de crédito y alertó a sus clientes para que tomen precauciones.

El abogado especializado en delitos informáticos Daniel Monastersky aseguró a iProfesional.com que “a nivel mundial ya se están analizando acciones legales contra Sony por el incidente de seguridad”. Y señaló que algunos analistas indican que “podría costarle unos 1.500 millones de dólares” a la empresa. Así, cada uno de los 77 millones de clientes en el primer ataque y cuyos datos podrían estar comprometidos, recibiría un promedio de 20 dólares.

Pero otra consecuencia de este atraco sería una reforma legislativa del marco europeo y argentino de protección de datos personales. “La tendencia mundial en los últimos años es la posibilidad que se introduzca una obligación de notificación general de los incidentes de seguridad donde se vean involucrados datos personales. En la Argentina no existe ninguna norma similar a la fecha. Eso minimizaría en gran medida los potenciales daños que podrían ocurrir con el tratamiento ilegítimo de la información personal”, señaló el letrado.

Apunten contra SonyEl 20 de abril la red de entretenimientos en línea de Sony, que permite la posibilidad de jugar juegos "online", ver películas, programas de TV y contenidos exclusivos quedó "offline" y entró en modo de mantenimiento.

El 26 de abril el gigante japonés hizo público qué datos personales de sus 77 millones de usuarios fue extraída de sus servidores, convirtiéndose así en uno de los robos de información personal más grande de la historia.

Dentro del material extraído, se encontraba:

• Nombre completo.
• Dirección completa (ciudad, estado/provincia, código postal y país).
• Dirección de e-mail.
• Fecha de nacimiento.
• Usuario y contraseña de ingreso a la red PSN.
• Números de tarjetas de crédito (estimado en 10 millones de números).

¿Cómo le sucede esto a un gigante como Sony? “Lo cierto es que en el mundo de la seguridad de la información nadie esta exento de incidentes, dado que no existe un control 100% infalible”, respondió a iProfesional.com Chernitsky.

¿Es la empresa responsable del incidente? ¿Tomó todas las medidas necesarias para impedir que esto suceda? Para determinar esto, el especialista analizó la infraestructura de la red PSN y del ataque en sí.

¿Cómo funciona PSN?Esta red utiliza Internet (con el protocolo HTTPS) para conectar las consolas PS3 a los servidores donde los usuarios acceden a las diferentes funcionalidades que la misma ofrece.

Las comunicaciones entre las partes son a través de Web Services, que por definición es un software que utiliza un conjunto de protocolos y estándares que sirven para intercambiar datos entre aplicaciones (en este caso, entre las consolas PS3 y los servidores).

Como el sistema de transporte es el HTTPS, éste requiere un servidor web, como ser el Apache ó Microsoft IIS.

La infraestructura tecnológica de los servidores de la red PSN está basada en 3 capas:

• Capa de aplicación (presentación o frontend): en este nivel se encuentran el software que interactúa con las consolas PS3 y sólo se comunica con el que le sigue (la capa lógica). Aquí se utiliza el servidor Web Apache donde se ejecutan los Web Services.
• Capa lógica: es la que procesa las solicitudes de la aplicación y solicita información a la de datos.
• Capa de datos (o backend): son los servidores de base de datos. Este nivel es independiente de las demás y su función es guardar y buscar registros.

Entre cada nivel posee firewalls (cortafuegos) para controlar el flujo de acceso entre las mismas, dado que en teoría, desde la franja de aplicación no se podría acceder a la de datos directamente. Esta estructura es conocida como arquitecturas de múltiples capas (ó multitier architectures).

El proceso de identificación y autentificación de las consolas PS3 con la red PSN es el siguiente:

• Primero la consola establece una conexión segura (SSL) vía Internet con el servidor de autentificación de la red PSN. De esta forma la computadora se autentifica con la consola PS3 y ésta sabe que está conectada con el equipo correcto.
• Luego, una vez iniciada la conexión, la consola PS3 envía un "passphrase" (una contraseña más larga, como ser una frase) como forma de autentificación de la misma ante la red PSN.
• Como parte de los parámetros, envía el número de firmware (software) que está utilizando (e.j. 3.60). 
• Luego se envían las credenciales de acceso del usuario y otras transacciones.

¿Cuán segura es la red PSN?La compañía diseñó la consola para que sólo pueda ejecutar juegos autorizados por ella y que no pueda ser accedida por terceros para ser modificada.

Esto, según Chernitsky, generó recelos en la comunidad de usuarios y motivó a varios de ellos y hackers a tratar de desbloquear el equipo para ejecutar cualquier juego ó programa. “Este fue el error de Sony: basar la seguridad de la red PSN suponiendo que la consola era segura”, señaló el especialista a iProfesional.com.

Así fue como el “hacker” GeoHot, famoso por realizar el desbloqueo del iPhone,  logró vulnerar la PS3  en conjunto con otros intrusos y encontrar las llaves privadas (root keys) de la misma.

Las llaves les permiten a los usuarios firmar digitalmente e instalar software no avalado por Sony en las consolas, incluyendo sistemas operativos (como ser AsbestOS, un sistema Linux compacto).

Esto permitió la distribución de firmware no oficiales (llamados Homebrew) que ya contenían todos los hackeos necesarios para que los usuarios tengan el control de sus modelos PS3.

Sony intentó varias veces bloquear el acceso a la red PSN de las PS3 hackeadas mediante la versión del firmware y por medio de la implementación de claves de autentificación (passphrase).

Aún así, los intrusos lograron seguir accediendo mediante la implementación de un ataque del tipo Man in the Middle.

¿Cómo fue el ataque?En su última conferencia de prensa, Sony no dio demasiados detalles sobre cómo fue el ataque, pero sí los suficientes para lograr entender cómo fue realizado el mismo:

• Primero, los atacantes, sabían de la existencia de una vulnerabilidad conocida en los servidores Web Apache. “Podemos estimar que esta información la pudieron obtener del análisis de tráfico entre la consola PS3 y la red PSN”, señaló Chernitsky.
• Enviaron una transacción válida al Web Service con un código que utilizó la vulnerabilidad para instalar un software de comunicación. De esta forma, se comprometió  la capa lógica de la red PSN. Al ser una transacción válida, los firewalls no fueron de mucha utilidad.
• Una vez dentro de la capa lógica el atacante inició, mediantes técnicas de elevación de privilegios, un ataque a la capa de datos para obtener acceso a los registros.

Dada la falta de confirmación por parte de Sony, tras el análisis del ataque se pudo estimar que la herramienta de comunicación instalada fue un backdoor y que el hecho de utilizar una transacción válida puede llegar a implicar el uso de una consola PS3 hackeada y un Proxy (para modificar la transacción acorde).

 ¿Es Sony responsable del incidente?Si se hace una revisión rápida de la infraestructura de seguridad de la red PSN, se puede establecer lo siguiente, según Chernitsky:

• La seguridad estaba basada en que la consola PS3 era segura: uno de los conceptos en la seguridad de la información es “no confiar en el cliente”.

  La red PSN no posee un método de Identificación y autentificación fuerte: utilizar el mismo "passphrase" para todas las consolas es un grave error, ya que como se comprobó, es fácil de obtener.

• El servidor de la red PSN se identificaba y autentificaba a la consola PS3 por medio de SSL, pero ésta solo lo hacía mediante un passphrase: ¿por qué no se utilizó un método de doble autentificación (cliente con servidor y viceversa)?. ¿Por qué no se utilizaron tecnologías más seguras, cómo certificados digitales?
• Servidores vulnerables: se sabía que el servidor Web Apache tenía una vulnerabilidad. ¿Por qué Sony no lo actualizó?. ¿Por qué la empresa no sabía que era vulnerable?
• Falta de controles de detección de intrusos: ¿por qué Sony no instaló entre capas de su infraestructura un N-IDS  (Network Intrussion Detection Systems) y/o un  H-IDS (Host based Intrussion Detection Systems) en combinación con un WAF (Web Application Firewall) para detectar y detener el ataque?
• Falta de cifrado de datos: ¿por qué no estaban cifrados los datos más críticos de los usuarios?. Sólo las tarjetas de crédito estaban (aparentemente) cifradas y las contraseñas estaban guardadas en formato hash.
• Falta de controles aplicativos: ¿por qué la capa de aplicación no detectó parámetros incorrectos?
• Respuesta a incidentes: ¿estaba preparada Sony para un incidente de este tipo?. ¿Por qué tardaron más de 6 días en notificarlo?
• Postura sobre seguridad de la información: ¿por qué recién en la conferencia de prensa  del 1 de mayo se anunció la creación del puesto Chief Information Security Officer para monitorear la seguridad de la red PSN?

“Si Sony no sabía que los servidores eran vulnerables, entonces es responsable por no realizar un análisis de riesgos de su infraestructura de tecnologías de la información. Si en cambio sabía que los servidores eran vulnerables, entonces es responsable por no actualizarlos”, concluyó Chernitsky.