La Agencia Española de Protección de Datos (AEPD) ha decidido investigar a Sony por el robo de datos de los usuarios de su PlayStation Network (PSN). La compañía ha reconocido que la base de datos de sus 77 millones de clientes de todo el mundo ha sido asaltada por unos intrusos, y no descarta que se hayan llevado la información de las tarjetas de crédito. De los tres millones de españoles que juegan en PSN, unos 330.000 habían pagado con tarjeta su derecho a jugar.

Una semana ha tardado Sony en reconocer que tenía un serio problema. Los clientes de su plataforma de juegos online empezaron a notar que las conexiones no iban bien el 19 de abril. Aunque no se ha sabido hasta ahora, cuando lo ha reconocido la compañía en su blog oficial, intrusos aún no identificados habían conseguido entrar en sus servidores y se lo habían llevado todo: "A pesar de estar todavía investigando los detalles de este incidente, creemos que personas no autorizadas han podido obtener vuestra información personal: nombre, dirección (ciudad, provincia, código postal), país, dirección de correo electrónico, fecha de nacimiento, nombre de acceso y contraseña de PlayStation Network/Qriocity, y PSN ID [un identificador de la red]", explican. Fue esta pérdida de datos la que obligó a Sony a cerrar temporalmente PSN y no un fallo técnico, como se dijo en un principio.

Además, la compañía japonesa no descarta que también se hayan llevado datos financieros de sus usuarios. "Es también posible que vuestros datos de perfil, así como historial de compra, dirección de cobro (ciudad, provincia, código postal) ypreguntas de seguridad de acceso a vuestras cuentas de PlayStation Network/Qriocity hayan sido obtenidos", sigue escribiendo en el blog el director de comunicación, Patrick Seybold. Incluso el número de la tarjeta bancaria y su fecha de validez también podrían haber volado. Desde la compañía explican que esto aún no se ha confirmado. Tampoco tienen el código de seguridad, el CVV que hay que indicar al comprar en muchas tiendas de internet.

Según datos de la compañía, el número de posibles afectados es enorme: PSN tiene 77 millones de usuarios en todo el mundo. De los 32 millones de europeos que juegan online o ven películas en la plataforma de Sony, tres millones son españoles. Y de estos, 330.000 han facilitado los datos de sus tarjetas a la compañía. "No tenemos constancia de que ninguno de los clientes españoles haya sufrido algún movimiento extraño en su cuenta", explica una portavoz de Sony. Sin embargo,en algunos foros aparecían ayer las primeras quejas de cargos indebidos. La empresa nipona pide a sus clientes que vigilen bien sus cuentas para detectar movimientos sospechosos.

Ante la preocupación suscitada, la AEPD decidió ayer "iniciar actuaciones para determinar si se han visto afectados derechos de ciudadanos, posibles vulneraciones de la Ley de Protección de Datos (LOPD) y las responsabilidades atribuibles", dijo un portavoz de la agencia. Pero, desde un punto de vista legal, las cosas no están del todo claras y Sony podría escaparse. "Primero habrá que saber si la AEPD es competente para investigar a Sony", explica el abogado especialista en privacidad Samuel Parra. Si Sony tiene los datos de los usuarios, aunque sean españoles, en servidores de Japón y los gestiona desde allí y no una filial suya en territorio español, "la AEPD no podría actuar contra la compañía", opina Parra.

Además, no se estaría ante la vulneración del derecho a la intimidad y la privacidad, sino el de protección de datos. El principio de seguridad, que obliga a las compañías que tienen los datos personales a una custodia efectiva, está regulado en la LOPD (Ley Orgánica de Protección de Datos) y exige al responsable del fichero instalar las medidas de protección adecuadas. "Es una obligación de resultado, que exige a la compañía hacer lo que sea para protegerlos", dice Parra. Y esa posible negligencia habrá que probarla. En el caso de que se pruebe, Sony habría incurrido en una falta muy grave y podría ser sancionada con 300.000 euros."Aunque haya un millón de españoles afectados, sólo habrá una única sanción", recuerda Parra.

Fallo de seguridad

Aunque el comunicado de Sony abunda en disculpas y consejos, apenas da una explicación de lo ocurrido, alegando que lo está investigando. Pero, como explica el director de Hispasec, Antonio Ropero, "las compañías suelen minimizar el número de afectados cuando sufren un ataque y Sony ha reconocido que, en este caso, ha afectado a todos". Esto implica que los ciberdelincuentes han tenido acceso a toda la base de datos. Si los intrusos han podido hacerse con los datos de 77 millones de personas, algo ha debido de hacerse mal. "Las empresas, al menos la mayoría, protegen sus servidores", recuerda Luis Corrons, de Panda. El método más habitual es usar una contraseña para acceder a cada fichero personal y esta clave se cifra con un algoritmo matemático. "Esto hace que, si la información es robada, sea inservible", explica Corrons. No parece que sea el caso de Sony.

Hay otro problema que destacan los expertos y que ha sido pasado por alto. Por razones de economía mental, la mayoría de las personas usan las mismas claves para los diferentes servicios de internet, desde cuentas del banco a chats. Ahora alguien tiene en su poder las contraseñas de millones de personas.

En cuanto a los culpables, hay quienes señalan al grupo Anonymous. Hace unas semanas, miembros de este colectivo lanzaron un ataque masivo contras las redes de Sony para protestar por la persecución que mantenía contra el hacker GeoHotz, un joven de 18 años que, en enero, hizo públicas las claves de la PlayStation. Anonymous cesó la ofensiva para evitar perjudicar a los jugadores de la PSN. De hecho, en un comunicado en el que tildaron a Sony de incompetente, el grupo aseguró la semana pasada: "Por una vez, nosotros no fuimos".

Por otro lado, según informaba ayer el diario The Guardian, también XboX Live, la plataforma de Microsoft, ha sido atacada. Los usuarios del juego Modern Warfare 2 estarían expuestos a recibir ataques de phishing, un tipo de estafa en internet. Aunque parece un caso puntual, la paranoia se está instalando entre los jugones.