Skip to main content

10 años del hackeo de PSN: la historia de una de las mayores brechas de seguridad de la historia

PS3
A.A.H.

20/04/2021 - 14:17

Hoy se cumplen 10 años del cierre de servidores de PSN tras el gran ataque al sistema de PlayStation que afectó a más de 70 millones de usuarios. Los datos de sus cuentas se vieron comprometidos y, además, un corte de uno o dos días del servicio se tradujo en 76 días sin poder jugar online en algunos territorios.

Si tuvisteis una consola de Sony, portátil o sobremesa, en 2011, seguro que recordáis uno de los episodios más vergonzosos, polémicos y peligrosos de la historia reciente de los videojuegos y de la seguridad en la red, un episodio que puso en jaque a Sony y que, además, enseñó una valiosa lección a las empresas de videojuegos.

En 2011 el juego online era algo totalmente normal en consolas gracias, sobre todo, a los pasos que dio Microsoft con Xbox Live tanto en la Xbox original como en Xbox 360 con el servicio Xbox Live. La seguridad"funcionaba", los servicios eran buenos y los servidores también cumplían.

PlayStation Network, el servicio de juego online de PlayStation al que, sobre todo, se sacaba partido en PS3, tenía peor fama por la estabilidad de la conexión, pero no dejaba de ser un servicio que, a diferencia de su directo competidor, permitía jugar gratis online.

Aunque las dos consolas del momento, y Wii, tenían online, no dejaba de ser un área relativamente nueva para estas máquinas y, el 20 de abril de 2011, se produjo un episodio que no tenía antecedentes: el cierre de los servidores de PSN sin previo aviso por parte de la compañía.

Un corte que parecía de mantenimiento, pero que escondía un ataque a los servidores que afectó a más de 70 millones de usuarios

En 2011 había foros y redes sociales, pero estas no eran tan comunes ni estaban tan pobladas y millones de jugadores jugaban a lo que se encontraban en tiendas, se informaban gracias a medios digitales, sí, pero también en medios en papel como 'la' HobbyConsolas y, muchos otros, ni siquiera seguían las noticias de videojuegos, algo que sigue pasando.

En foros se hablaba de 'algo' que había ocurrido porque había cortes de servicio, pero el mazazo llegó el día 20 de abril cuando Sony, sin previo aviso, cerró los servidores de PSN. Esto afectó a millones de usuarios del servicio, que se encontraron con una vaga explicación sobre por qué no podían jugar online en un mes muy potente a nivel de lanzamientos.

Básicamente, en esos primeros momentos se hablaba de un proceso de actualización, mantenimiento y supervisión del servicio, algo raro porque no se anunció, pero bueno, estábamos en un periodo en el que PSN estaba en pañales, por lo que podría ser, perfectamente, una actualización de servidores.

Inteligencia Artificial

¿Puede la inteligencia artificial frenar a los hackers?

La inteligencia artificial tiene infinitos usos. Uno de las más interesantes tiene que ver con la mejora en la seguridad. Informáticos de la Universidad de Boston han desarrollado una Inteligencia Artificial que localiza los fallos en el software que los ciberdelincuentes utilizan para atacar.

Sin embargo, la información oficial llegó el 21 de abril: Sony afirmó que habían cerrado por algo externo que se encontraban investigando y que el servicio quedaría inutilizado "uno o dos días antes de volver a la normalidad". 

Pasaba el tiempo, pasaba el plazo y seguía siendo imposible conectarse a PSN. ¿Qué estaba pasando? La comunicación con las empresas en 2011 no era tan fluida como ahora, ya que podíamos preguntar en Twitter, pero la estrategia de redes sociales era otra completamente diferente y, días después, el 27 de abril, Sony, por fin, emitió un comunicado.

Como se hacían eco nuestros compañeros de HobbyConsolas, la compañía japonesa esgrimía que habían cerrado el servicio por motivos de seguridad, ya que habían detectado una intrusión entre los días 17 y 19 de abril que afectaban a 70 millones de usuarios entre los de PSN y los del servicio Qriocity.

Esa intrusión significaba que los atacantes habían podido acceder a todos los datos de las cuentas de PSN, lo que suponía que los usuarios que tenían una tarjeta enlazada al servicio para comprar juegos digitales estaban, o podían estar, en manos de ciberdelincuentes.

Eso, evidentemente, causó un gran revuelo porque no solo era el hecho de que los datos bancarios estaban en manos ajenas, sino que Sony había tardado 10 días en decir a los usuarios qué había pasado.

La compañía animó a los usuarios a ver el estado de su cuenta, cancelar tarjetas y cambiar correos electrónicos e información sensible que hubiera estado asociada a PSN, pero el daño estaba hecho y se pensó que la credibilidad de la compañía era irrecuperable.

Al final, como leemos en GamesIndustry, esos "uno o dos días" de servicio interrumpido se convirtieron en casi un mes, ya que el servicio se empezó a restablecer en Estados Unidos el 15 de mayo, pero otras zonas como Japón, el hogar de la compañía, estuvieron offline durante 76 días, que se dice pronto.

Y, ojo, no fue el único ataque que se perpetró esos días, ya que también se realizó un ataque a 24,6 millones de cuentas de Sony Online Entertainment. Ahí, Sony sí dio datos concretos y afirmó que de las 12.700 tarjetas de crédito que habían sido comprometidas, solo 900 estaban activas en países como Austria, Holanda, Alemania o España.

Juegos gratis, la solución, y una valiosa lección

Las voces sobre una compensación por parte de Sony se empezaron a hacer escuchar y se hablaba de saldo de PSN como compensación o algo así, pero al final, Sony zanjó el tema pidiendo disculpas y ofreciendo juegos gratis (y no de los recientes) para PS3, PSP, PS Vita y algún tema dinámico. El valor de estos regalos fue de 15 millones de euros.

Y la gente, más pronto que tarde, se olvidó del tema con solo unos cuantos juegos gratis. Sin embargo, y aunque la actuación de Sony no fue la correcta debido a la nula transparencia inicial para tratarse de un tema tan sensible, este ataque sirvió para que las empresas trabajasen en sus sistemas de seguridad.

De hecho, aunque ha habido otros casos de ataques similares, ninguno ha llegado, que sepamos, a las cotas del gran hackeo de PSN de 2011. Y sí, hemos tenido otros ataques como el de agosto de 2014 o el de navidades de 2014, el famoso ataque de Lizard Squad que nos dejó sin juego online en las vacaciones, pero ninguno tan grave como el de abril de tres años antes

Al final, estos ataques han servido para lo que comentamos, para que las compañías emprendieran acciones proseguridad en algo tan sensible como lo son las tiendas digitales y, como suele decirse, se aprende cuando nos caemos y, afortunadamente, no hemos vuelto a tener un ataque así... aunque de vez en cuando se intente algún DDOS.

Y sí, Sony se comprometió a investigar a fondo lo sucedido, pero no trascendió demasiado de esa investigación. Algunos ejecutivos apuntaron a Anonymous, pero el grupo afirmó que no estaban implicados en el ataque. Así que, lo que realmente pasó lo siguen sabiendo solo unos pocos.