Si han estado atentos a lo que ha pasado con PSN y Sony, esta noticia los tendrá aún más paranoicos. Sueno exagerado y tal vez les esté metiendo miedo por nada, pero después de enterarme de ésta noticia comencé a dudar seriamente de la seguridad informática que Sony puede ofrecer en cualquiera de sus productos.
Luego de la reciente ronda de nuevas Q&A que lanzó Sony en su blog, una de las respuestas que dio llamó la atención de muchos usuarios, la cual pone en seria duda la estructura de seguridad que Sony había adoptado para PSN y que tiene relación con la parte de la información personal que ellos almacenaban y la correlación con los datos de Tarjetas de Crédito. ¿Quieres saber qué tan a salvo estás? Un pequeño análisis a la vuelta de la valla.
Tomando en cuenta que los datos personales no estaban encriptados sino en texto plano, allí se encuentran tu correo electrónico, tu nombre, dirección y contraseña. Esto no sería problema si no es porque la mayoría de la gente utiliza la misma contraseña para todos sus servicios. Así alguien malicioso con estos datos saldría simplemente a cazar wonejos: con tu correo y contraseña saldrá a probar en PayPal y otros sitios de compras para obtener aquellos preciosos datos que Sony dice estaban "encriptados".
También el hecho que digan que "no tienen evidencia que los datos de las tarjetas de crédito hayan sido tomados" no nos da la completa seguridad de que hayan obtenido aquellos datos o no.
No sólo han de hacer mejoras a nivel de software, sino que también las están haciendo a nivel de localización de los centros de datos de PSN, lo que explica el por qué se demoran tanto en reactivarla... pero eso sólo deja más dudas al respecto. ¿Por qué están cambiando la ubicación? ¿Qué había de malo con el lugar en el que estaban actualmente? Esto me suena bastante peculiar y sospechoso, y da para preguntarse cosas al borde de las teorías conspiratorias.
Se rumoran muchas cosas, pero la que más me llama la atención es que se viene el fin del mundo una actualización de proporciones bíblicas: actualización de PSN, actualización de Firmware, actualización de tus juegos, actualización de contenidos descargables y actualización de tus calcetines. Absolutamente todo. Pero recuerden que sigue siendo un rumor solamente.
Cuando se habló del hackeo de la PS3, muchos mencionaron que había sido el Complete Raep & Ultimate Hack, y parece que eso no está tan alejado de la realidad. En psx-scene.com se publicó un chat log fechado del 16 de febrero de 2011 donde unos hackers se ponen a comentar lo débil de la seguridad de los sistemas de PSN, en aras de ver cómo burlar la verificación en los CFW. El les dejo el log completo en inglés, nicknames removidos, donde hablan sobre el tema.
¿Y ahora quién podrá defendernos... de Sony?
Luego de la reciente ronda de nuevas Q&A que lanzó Sony en su blog, una de las respuestas que dio llamó la atención de muchos usuarios, la cual pone en seria duda la estructura de seguridad que Sony había adoptado para PSN y que tiene relación con la parte de la información personal que ellos almacenaban y la correlación con los datos de Tarjetas de Crédito. ¿Quieres saber qué tan a salvo estás? Un pequeño análisis a la vuelta de la valla.
Punto #1: Sony admite que los "datos personales" no estaban encriptados
Todos los datos estaban protegidos, y el acceso estaba restringido físicamente y a través del perímetro de seguridad de la red. La tabla de tarjetas de crédito completa estaba encriptada y no tenemos evidencia de que los datos de las tarjetas de crédito hayan sido tomados. La tabla de datos personales, que es un conjunto de datos separado, no estaba encriptado, pero estaba, por supuesto, tran un sistema de seguridad muy sofisticado que fue vulnerado en un ataque malicioso.
Tomando en cuenta que los datos personales no estaban encriptados sino en texto plano, allí se encuentran tu correo electrónico, tu nombre, dirección y contraseña. Esto no sería problema si no es porque la mayoría de la gente utiliza la misma contraseña para todos sus servicios. Así alguien malicioso con estos datos saldría simplemente a cazar wonejos: con tu correo y contraseña saldrá a probar en PayPal y otros sitios de compras para obtener aquellos preciosos datos que Sony dice estaban "encriptados".
También el hecho que digan que "no tienen evidencia que los datos de las tarjetas de crédito hayan sido tomados" no nos da la completa seguridad de que hayan obtenido aquellos datos o no.
Punto #2: ¿Por qué se demoran tanto en reactivar PSN?
Estamos iniciando algunas medidas que mejorarán significativamente todos los aspectos de seguridad de PlayStation Network y sus datos personales, incluyendo mover nuestra infraestructura de redes y centros de datos a una nueva y más segura ubicación, lo que se está llevando a cabo.
No sólo han de hacer mejoras a nivel de software, sino que también las están haciendo a nivel de localización de los centros de datos de PSN, lo que explica el por qué se demoran tanto en reactivarla... pero eso sólo deja más dudas al respecto. ¿Por qué están cambiando la ubicación? ¿Qué había de malo con el lugar en el que estaban actualmente? Esto me suena bastante peculiar y sospechoso, y da para preguntarse cosas al borde de las teorías conspiratorias.
Punto #3: ¿Y qué se nos viene ahora?
Y he aquí el proveedor, visto en su propia humillación, decide hacer su vida de nuevo y enmendar su infortunio para con los hombres, estableciendo un nuevo convenio, una nueva alianza entre él, el proveedor, y los hombres que de él dependían.
¡Nos destruirán a todos! ¡Nos destruirán a todos! |
Ahora todos sabían, menos la pobre Sony
¿Y ahora quién podrá defendernos... de Sony?
Respuestas a "Sony: "los datos personales no estaban encriptados""