Seguro que estos días habréis oído o leído en algún medio de comunicación sobre la hecatombe que está sacudiendo los cimientos de la PlayStation Network. Y digo esto porque, como viene siendo habitual, los medios sólo se interesan por el mundo de los videojuegos cuando sucede algo malo; pero bueno, esa es una queja para otro post. El caso es que, como ya sabéis, los servidores de Sony sufrieron una intrusión a mediados de abril, y como resultado de ella fueron sustraídos los datos personales de los suscriptores de la PlayStation Network, incluyendo números de tarjeta y sus correspondientes códigos CCV (los cuales permiten autorizar transacciones con dichas tarjetas).
Estamos hablando de un robo de datos personales de enormes proporciones: PlayStation Network tiene, según Sony, más de 77 millones de suscriptores, de los cuales un alto porcentaje tenía registrados los datos de su tarjeta de crédito. En casos como este las iras deberían ir dirigidas hacia ese hacker o grupo de ellos que han llevado a cabo tal acto. Es lo lógico. Esta gente sin decencia se ha hecho con datos personales de millones de personas y ahora pretende comerciar con ellos. Sin embargo, Sony, con su lamentable sistema de seguridad y su política de silencio, también se está llevando una buena cantidad de palos.
Por un lado, ahora sabemos que Sony guardaba en texto plano (es decir, sin cifrado) la base de datos de los suscriptores de la PlayStation Network, excepto los datos de las tarjetas passwords que, según Sony, iban hasheados cifrados. Además, parece ser que cualquiera con un mínimo de conocimientos podía pasearse por los servidores de Sony como si estuviera en su propia casa. Es decir, Sony, una de las multinacionales más importantes del planeta, con muchos años de experiencia en prácticamente cualquier área tecnológica, y que cobra a precio de oro sus productos, no sabe cómo proteger los datos de sus clientes. Estupendo, Sony, sencillamente estupendo.
Las consecuencias de este asunto van más allá del robo de información o de la caída del servicio de PlayStation Network. Un servicio que, por cierto, lleva cerrado desde el 17 de abril, aunque está previsto que se restablezca en breve. No, con el lamentable sistema de seguridad de los servidores de Sony, se demuestra que se han pasado por el forro las leyes de protección de datos, las cuales obligan a las empresas que recopilan datos personales a proteger estos datos del acceso de terceros. Una cosa es que te roben la base de datos (ningún sistema informático es infalible), y otra cosa bien distinta es que extraer datos de ella sea tan sencillo como el mecanismo de un botijo. Aunque la verdad es que Sony ya ha dado muestras en el pasado de que la legislación internacional le importa bien poco (¿alguien dijo Linux?).
Pero eso no es todo. Una vez destapado el asunto, lo más lógico habría sido llevar el tema con transparencia, informando a los clientes de los hechos y de qué medidas se van a tomar para que no se vuelva a repetir. ¿Qué ha hecho Sony? Silencio absoluto hasta que la gente, cabreada por llevar varios días sin poder jugar on-line en PS3 o PSP, se ha empezado a quejar. Luego ha mentido pretendiendo echar la culpa a Anonymous, que ya hace algunos días atacó los sistemas de Sony en represalia por la persecución judicial a GeoHot, el hacker que desbarató el sistema de seguridad de los juegos de PlayStation 3. Y por si esto no fuera suficiente, han tardado más de 1 semana en notificar el asunto a los clientes (yo recibí el e-mail de aviso el 28 de abril).
Como he dicho antes, lo que han hecho los hackers es deleznable y merecen un fuerte castigo por ello. Ellos han cometido el robo de datos personales y ellos son los culpables. Pero no son los únicos. Sony también tiene buena parte de responsabilidad y también debería ser sancionada por ello. Y eso sin tener en cuenta que los suscriptores de PlayStation Network se merecen una disculpa y una compensación por todo esto. Todo comunicado de Sony que insista en no asumir su responsabilidad y en no ofrecer la información que la gente se merece no será más que una burla hacia aquellos que han depositado su confianza en la multinacional nipona.
Por el momento, parece que sí van a compensar a los usuarios pues han anunciado 1 mes de PS+ gratis para todos, y una serie de contenidos descargables no especificados que variarán según el territorio. Ahora falta el detalle de la responsabilidad, algo que todos deberíamos reclamar porque si no, en caso de que se repita algo así (toquemos madera…) volverán a ningunearnos.