Experto asegura que Sony conocía las falencias de sus sistemas antes del ataque a PSN

Un experto habla sobre las falencias en las que incurrió Sony para que el ataque a PlayStation Network fuese tan delicado.

Esta mañana, el Subcomité de Industria y Comercio de la Cámara de Representantes de los Estados Unidos inició audiencias sobre la amenaza de robo de datos a los consumidores estadounidenses. El vicepresidente ejecutivo de Sony Corporation, Kaz Hirai, fue invitado a testificar ante la Cámara pero rechazó dicha invitación. A cambio, envió un informe detallado de los ataques cibernéticos realizados a PlayStation Network en forma de carta dirigida a Mary Bono Mack, ejecutiva del Subcomité.

Una persona que sí se presentó a declarar fue el Dr. Gene Spafford de la Universidad de Purdue, quien también es jefe del Consejo de Políticas Públicas de la ACM (Association for Computing Machinery). Spafford tuvo palabras duras para Sony, diciendo que la empresa sabía que las defensas del PSN estaban desactualizadas desde hace meses antes del ataque, que ocurrió entre el 17 y 19 de abril.

Spafford declaró que varios expertos de seguridad que participaron en algunos debates en foros, habían descubierto meses atrás que la seguridad del PSN estaba fallando. Según esta información, PSN estaba utilizando versiones antiguas del software de servidor web Apache, el cual «no estaba actualizado y no tenía firewall instalado.» También declaró que dos o tres meses antes del ataque, la vulnerabilidad fue reportada «en un foro abierto controlado por empleados de Sony», pero la empresa no tomó ninguna medida.

«Si la afirmación del Dr. Spafford es precisa, es imperdonable que no Sony sólo corrió software obsoleto en los servidores que contenían datos confidenciales, sino también que la empresa siguió haciéndolo después de que esta información se dio a conocer públicamente», dijo el editor de tecnología para Consumer Reports, Jeff Fox.

Por otro lado, en la carta enviada por Sony al Congreso de los Estados Unidos, la compañía mencionó una serie de medidas que han adoptado para reforzar la seguridad, incluyendo el traslado de sus servidores a un nuevo establecimiento, agregando más firewalls, mejorando la encriptación y protección de datos e incrementando el monitoreo automatizado por software. Sony también ha contratado a tres empresas de seguridad de datos para ayudar con la investigación que la compañía está llevando a cabo sobre el ataque, la cual está siendo asistida por el FBI y la DHS (Departamento de Seguridad Nacional).

El experto en seguridad cibernética también dijo que la intrusión de Sony comprometió 100 millones de cuentas tanto en el PSN y su servicio Qriocity. También estimó el coste total de este ataque: son USD 21.000 que Sony deberá asumir.

Spafford también citó anuncios en los foros de robo de tarjetas de crédito en la que los ladrones de dicha información se quejaban que el golpe hecho a PSN fue tan grande que el precio de dicha información se había disminuido en un «factor de cinco o diez» en el mercado negro.

También dijo que las notificaciones del ataque a PSN fueron buenas pero sólo «después del hecho.» El problema, según Spafford, fue que la policía no estaba equipada adecuadamente para hacer frente al incidente. También dijo que la mayoría de las empresas no disponían de suficientes medidas de seguridad porque «la inversión en medidas de seguridad afecta a la línea de fondo. Ellos no entienden los riesgos que se corren por no invertir en seguridad. … Así que cuando son golpeados, ellos transfieren ese costo a sus clientes y al resto de la sociedad.»

Spafford piensa que la solución es limitar la cantidad de datos almacenados por empresas como Sony y ponerle «edad a los datos» para que esta información expire al cabo de un tiempo determinado.

Fuente.