Público
Público

Primera demanda en EEUU contra Sony por el robo de datos

Un bufete de California ha sido el primero en denunciar a la compañía japonesa por el acceso de piratas a su red. La empresa asegura ahora que la información de las tarjetas bancarias, que afecta a 330.000 españoles, esta

MIGUEL ÁNGEL CRIADO

Sony se enfrenta a la primera denuncia por el robo de datos sensibles de los usuarios de su PlayStation Network (PSN). Un bufete de abogados de EEUU especializado en tecnología demanda a la compañía nipona por no haber protegido adecuadamente la información personal de sus clientes. La empresa aseguró ayer que los números de las tarjetas bancarias estaban cifrados, pero no el resto de la información. Los piratas informáticos podrían estar vendiendo la base de datos al mejor postor, según un experto estadounidense en seguridad informática.

"Interponemos esta demanda en nombre de los consumidores para conocer todo el alcance de las políticas de seguridad de los datos de Sony PlayStation Network, la información perdida y buscar una compensación para los consumidores", dijo en un comunicado el abogado Ira P. Rothken, de un bufete de San Francisco (California). La figura elegida por su bufete es la de la class action, una especie de demanda colectiva a la que se pueden apuntar todos los usuarios estadounidenses de PSN que se hayan visto perjudicados. "Tenemos la esperanza de que Sony aproveche esta oportunidad para aprender de las debilidades de la red; dará una solución a los consumidores que confiaron sus datos sensibles y se pondrá a la vanguardia de las buenas prácticas para la seguridad de los datos en adelante", continúa el comunicado.

El resto de datos, como la dirección o el email, no estarían encriptados

La demanda, presentada en representación inicial de Kristopher Johns, un ciudadano del estado de Alabama (en el otro extremo de EEUU), alega que Sony no ha tenido el celo exigible para "proteger, encriptar y asegurar los datos privados y confidenciales de sus usuarios, lo que llevó a la intrusión que causó la pérdida de la información personal y privada de más de 70 millones de clientes", tres millones de ellos españoles. Los abogados esperan que más ciudadanos se unan a la demanda.

Los letrados buscan una compensación económica por la pérdida de los datos personales pero también por la imposibilidad de usar PSN, que lleva ya diez días fuera de servicio. El escrito, presentado ante un tribunal federal de California, también sostiene: "A nuestro leal saber y entender, los representados han comenzado a sufrir pérdidas por el uso fraudulento de la información de las tarjetas de crédito supuestamente comprometidas por la brecha de seguridad alegada en este escrito".

Sony, sin embargo, aseguró ayer que los detalles de las tarjetas estaban cifrados, algo que se desconocía hasta ahora. En un nuevo comunicado, esta vez en el formato de pregunta y respuesta para rebajar los temores, la compañía explicó que toda la información de las tarjetas se encontraba separada del resto de información personal y protegida con un método de encriptación que la haría ilegible. "Si bien toda la información de tarjetas de crédito almacenada en nuestros sistemas se cifra y no hay evidencia en este momento de que se hayan llevado los datos de tarjetas de crédito, no podemos descartar la posibilidad", dice el comunicado. Un total de 330.000 españoles dieron a Sony los datos de sus tarjetas de crédito o débito.

Un experto en seguridad dice que la base de datos ya está en venta

Aunque el cifrado es una buena noticia, el problema, según los expertos de seguridad, vuelve a ser el oscurantismo. Como escribe el experto de Sophos, Graham Culey, "el hecho de que hayan cifrado los datos de las tarjetas de crédito es de agradecer, ya que reduce las posibilidades de que la información robada se utilice fraudulentamente". Sin embargo, "todavía queda la pregunta sobre lo robusta que es la encriptación usada por Sony", añade. Para Culey, la compañía ha vuelto a perder la oportunidad de tranquilizar a sus clientes. "Debieron haber dicho en el primer anuncio que los datos de tarjetas iban cifrados y deberían, en esta última comunicación, haber proporcionado detalles sobre la naturaleza del cifrado que utilizan", escribe.

En todo caso, lo que ya se sabe entonces es que el resto de la información nombre, dirección, correo electrónico, fecha de nacimiento y nombre y contraseña de acceso a la red de PSN estaba sin proteger. "La tabla de datos personales, que es un conjunto independiente de datos, no se ha cifrado, pero estaba, por supuesto, detrás de un sistema de seguridad muy sofisticado", aunque fue "burlado en un ataque malicioso", dice el comunicado de Sony.

Sony quiere reabrir el servicio de su red de juegos la próxima semana

La compañía ha reconocido que, además de la empresa de seguridad que la está ayudando con el análisis forense informático, la división de cibercrimen del FBI en San Francisco está investigando por su cuenta para intentar hallar a los responsables.

Los piratas informáticos estarían ya intentando vender la información obtenida. Según un mensaje publicado en Twitter por el experto en seguridad Kevin Stevens, muy respetado en la escena hacking, la base de datos robada estaba siendo ofertada en foros especializados. "Supuestamente, le ofrecieron a Sony la oportunidad de recuperar la base de datos comprándola, pero no habrían aceptado", escribe Stevens. También asegura que los piratas ofrecen 2,2 millones de números de tarjetas con su código de seguridad, el conocido como CVV. Este último detalle hace desconfiar a los expertos de la veracidad de la oferta, ya que este número, según ha insistido Sony, no había sido almacenado. De haberlo hecho, la compañía japonesa habría incumplido una de las reglas básicas establecidas por la PCI, la Industria de Medios de Pago, que obliga a no almacenar esta información.

Sony, por su parte, pretende reabrir su web la semana que viene. "Iremos abriendo servicios poco a poco, siempre y cuando la seguridad esté garantizada", dice un portavoz de Sony España.