El ataque habría supuesto que los crackers lograron obtener acceso a la información de dicha base de datos, la cual comprendía el nombre del cliente, su dirección postal, números de tarjetas y fecha de expiración de las tarjetas de crédito y débito de los 12.700 clientes no estadounidenses, pero no el código de seguridad según indicó la compañía, así como alrededor de 10.700 extractos de débito directo de clientes en Austria, Alemania, Holanda y España.

El anuncio se hacía público sólo días después de que los principales mandatarios de la multinacional pidiesen disculpas públicamente por el robo de datos personales de 77 millones de usuarios de Play Station Network (PSN) como resultado de otro ataque de piratas informáticos perpetrado durante el mes de abril.

Debido a la opacidad con la que normalmente se desenvuelven las multinacionales japonesas cuando se produce algún hecho de estas características que pueda dañar su imagen, las informaciones que se han hecho públicas con respecto a este robo masivo de datos personales han sido y siguen siendo algo confusas por lo que no es fácil concretar el alcance de dicha sustracción, la cual puede llegar a convertirse en la mayor vulneración de seguridad de una empresa en la historia.

En cualquier caso, atendiendo a las explicaciones dadas durante la rueda de prensa convocada por Sony con motivo del robo de datos de clientes de la PSN y en concreto a las medidas de seguridad que según indicaron la multinacional va a implementar en sus sistemas a consecuencia de dicho ataque, se puede llegar a la conclusión de que existían muchas lagunas de seguridad esenciales que propiciaron que el ataque tuviese tamañas consecuencias.

En primer lugar, llama poderosamente la atención que Sony reconozca públicamente que los ataques perpetrados se llevaron a cabo explotando unas "vulnerabilidades" del servidor donde se encontraba almacenada la información sustraída, las cuales habían sido denunciadas con anterioridad por consultores de seguridad independientes, pero que según indica la multinacional eran totalmente desconocidas por ésta.

En los círculos de expertos sobre la materia se ha llegado a especular que dichas "vulnerabilidades" eran por un lado, la desactualización del software utilizado en los servidores del gigante japonés y por otro, que los mismos carecían de firewall, facilitando de esta forma los accesos a los datos de carácter personal contenidos. En cualquier caso, sean o no verídicas estas informaciones, lo cierto es que los servidores donde se encontraban almacenados los datos personales sustraídos no contaban con las medidas de seguridad mínimas que podrían haber evitado dichos accesos no autorizados.

Adicionalmente, uno de los puntos que más ha sorprendido es que una multinacional de la envergadura de Sony no contase con la figura del Responsable de Seguridad de la Información, el cual coordinase y controlase las medidas de seguridad que se deben implementar en los sistemas de información y reconozca ahora  que va a crear dicha figura como a consecuencia de los ataques informáticos sufridos durante las últimas semanas.

En este sentido, teniendo en cuenta que muchos de los clientes perjudicados son residentes en España, cabría extrapolar el caso al ámbito nacional, donde observamos que la legislación española sobre la materia (Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal) obliga a toda aquella empresa que lleve a cabo el tratamiento de datos de carácter personal deberá designar uno o varios Responsables de Seguridad que se encarguen de coordinar y controlar la aplicación de las medidas de seguridad mínimas que garanticen la seguridad de los datos personales y eviten accesos no autorizados por parte de terceros,  lo cual ha quedado patente que en este caso no se ha seguido.

En cualquier caso, si bien es cierto que la Agencia Española de Protección de Datos (AEPD) inició la semana pasada una investigación de oficio para depurar responsabilidades, no parece que pueda ser de aplicación la legislación española, dado que según ha indicado la compañía, los servidores de la empresa se encuentran establecidos en EE.UU. y por tanto si los datos fueron recogidos por la empresa matriz, es decir, Sony Computer Entertainment America LLC, les es de aplicación la legislación estadounidense, la cual, dicho sea de paso es muchísimo menos restrictiva que la española.

Por todo ello, a la espera de que la investigación de la AEPD arroje algo de luz al respecto, sólo cabe esperar que tanto Sony como el resto de empresas del sector hayan aprendido la lección y se afanen en proteger los datos personales de los cuales son responsables y se conciencien de la importancia de dicha protección, dado que el daño que generan a la imagen de las compañías y la desconfianza que se crea entre sus clientes y el público en general pueden tener consecuencias negativas cuyo precio es siempre mucho más alto que el que pudieran invertir en implementar medidas de seguridad mínimas que garantizasen la seguridad de sus sistemas y los datos personales contenidos en los mismos.

FUENTE: www.legaltoday.com