Por David Talbot
Los daños causados por el ataque el mes pasado a la PlayStation Network de Sony—un evento que expuso la información personal de 100 millones de cuentas—todavía están siendo calculados, pero algunos expertos aseguran que estos se han visto magnificados porque Sony ofreció a sus usuarios información con retraso y sólo de forma incompleta.
Sony se enfrenta a numerosas peticiones del Congreso, incluyendo ésta solicitada la semana pasada—así como a varias citaciones del fiscal general de Nueva York—para obtener más información sobre los datos robados y la naturaleza de sus defensas de seguridad.
Howard Stringer, presidente ejecutivo de Sony, ha comentado que el ataque sufrido por Sony es el más grande de su tipo jamás realizado sobre una empresa. Sin embargo, los detalles del ataque aún no han sido aclarados. "Tenemos este problema con todos los ataques de este tipo. Nunca sabemos qué pasó, cuán malo es, qué hicieron, o cómo lo hicieron. Nada," se exclama Bruce Schneier, un reconocido experto en seguridad. "No hay nada de transparencia y Sony es particularmente torpe pronunciándose sobre alguna cosa y seguidamente retractándose de lo comentado."
En una respuesta a una carta anterior del Congreso, Sony indicó que se había enfrentado a una situación "extraordinaria" en la que la información acerca de la intrusión "no fue ni inmediata ni fácil de obtener", y que actuó con prudencia al desconectar la red rápidamente mientras investigaba lo sucedido.
Sony desconectó la PlayStation Network del 20 de abril hasta el 15 de mayo, cuando la empresa empezó a volver a poner sus redes en línea. Sony estima que el incidente tuvo un coste de 171 millones de dólares.
Aunque el ataque comenzó en algún momento entre el 17 y el 19 de abril, no fue hasta el 26 de abril que Sony anunció que una cantidad masiva de datos personales había sido expuesta. Durante siete días, Sony hizo sólo declaraciones crípticas para explicar la desconexión de la red. El 20 de abril, la empresa publicó un artículo de una sola línea en su blog que rezaba: "Somos conscientes de que ciertas funciones de PlayStation Network no funcionan correctamente. Volveremos a informar en este mismo blog tan pronto como dispongamos de más información y nos sea posible."
El 21 de abril, Sony comentó que aún estaba investigando. El 22 de abril, la empresa publicó que había habido una "intrusión de un tercero en nuestro sistema." El 23 de abril, Sony comentó que estaba "reconstruyendo nuestro sistema para fortalecer aún más nuestra infraestructura de red" en parte para "dotar al sistema de una seguridad adicional."
Finalmente, tres días después, Sony emitió una exposición más detallada sobre el ataque, confirmando que los nombres, direcciones, fechas de nacimiento, direcciones de correo electrónico, y otros datos de los usuarios registrados de sus productos PlayStation Network y Qriocity—un servicio de reproducción multimedia a través de internet—habían sido robados. La empresa aportó a sus clientes consejos sobre cómo protegerse en caso de suplantación de identidad.
Más tarde, ese mismo día, un usuario enojado llamado "jonabbey", comentó en el blog de Sony PlayStation: "Es bastante increíble que ésta sea la primera comunicación significativa que nos habéis dado. Muchos de nosotros que disponemos de los conocimientos necesarios para estar leyendo vuestro blog tenemos los conocimientos técnicos suficientes para gestionar nuestros propios servicios de Internet, y está claro que en un caso como éste un exceso de comunicación nunca es algo malo."
Schneier está de acuerdo. "Se necesita suficiente información para que los investigadores—y también los clientes puedan tomar decisiones inteligentes", afirma el experto. "Sin embargo, las empresas no quieren que el cliente tenga visibilidad. Ellas están perfectamente felices de no hablar de los detalles, porque los detalles son vergonzosos."
Schneier añadió: "En este momento, usted, como cliente, no tiene otra opción que confiar su información a Sony o Citibank, o a su empresa de telefonía, o a Facebook, o a Amazon—y usted no dispone de ningún tipo de transparencia ni de control sobre qué sistemas de seguridad utilizan. "
La semana pasada, la Casa Blanca anunció una propuesta legislativa que aumentaría las penas para aquellos que ataquen sistemas informáticos—pero sólo si el objetivo forma parte de la infraestructura crítica, la cual aún no está definida. Bajo la actual ley de fraude y abuso de ordenadores, las sanciones sólo se aplican a los ataques a las redes financieras o del gobierno. Melissa Hathaway, una consultora que actuó como asesora de ciberpolítica del presidente Obama a principios de 2009, afirma que la propuesta debería extenderse a los incidentes como la intrusión de Sony.
"Ésta es una oportunidad para crear una declaración de politica interna de disuasión más enérgica que implique que cualquier equipo que sea atacado por cualquier razón debería verse emparado por esta ley", comenta Hathaway. "Las leyes deben determinar que los ataques a redes son ilegales, y que los efectos de los ataques deben determinar las sanciones. Es hora de que el gobierno declare que los sistemas informáticos de todas las entidades—gubernamentales, comerciales, educacionales—están interconectados".
La propuesta de la Casa Blanca también implicaría la creación de una ley federal que requeriría a las empresas notificar a los usuarios estadounidenses de las intrusiones que expongan sus datos personales. En la actualidad, hay un mosaico de 47 leyes estatales rigiendo este tipo de notificaciones.
Copyright Technology Review 2011.
No hay comentarios:
Publicar un comentario