Sony tenía cifrados los datos de las tarjetas de crédito en PSN, pero no es suficiente

La compañía japonesa había aplicado procedimientos de cifrado a los datos de las tarjetas de crédito. Sin embargo, los expertos dicen que con cifrar no es suficiente.

Según ha publicado BBC World, Sony dice que los datos correspondientes a las tarjetas de crédito almacenados en las bases de datos de la PlayStation Network estaban cifrados. Con esto, la compañía pretende dar un pequeño respiro a los afectados por el ataque sufrido el pasado 19 de abril que ocasionó la desactivación de los servicios de PSN a partir del 20 de abril. Se supone que con datos cifrados la información codificada es muy difícil de ser descubierta.

Sin embargo, expertos de seguridad informática afirman que los procedimientos de cifrado no son suficientes. MeriStation consultó a uno de estos expertos, quien habló sobre el cifrado de los datos:

“Esto es casi un deber de cualquiera que almacene contraseñas. En cualquier caso, con el dato ‘cifrado’ en la mano, es posible aplicar fuerza bruta y, si la contraseña es débil, obtenerla en claro”, afirma Sergio De Los Santos, experto en seguridad informática y coordinador del SOC (Security Operation Center) de la firma Hispasec.

De los Santos cree que “con cifrar no basta, es sólo una capa más (aunque es cierto que muy robusta si se hace bien).» El experto afirma que es muy común que las personas usen la misma clave para muchas cuentas en Internet, así que sugiere a los afectados que cambien las claves de todas las cuentas, correos electrónicos y demás, si es que usaban la misma clave que en la cuenta de PSN.

Con respecto al tema de las tarjetas de crédito, Santos afirma que “Sony (ni ninguna empresa) guarda el CVV de la tarjeta. Como cada vez son más servicios online los que exigen este código para realizar el pago, cada vez es más difícil comprar online sólo con el número de tarjeta y fecha de caducidad.” Sin embargo, cabe la posibilidad de que los datos de las tarjetas de crédito sean vendidos a mentes criminales, ya que en ocasiones los hackers obtienen más ganancia económica al vender esta clase de información robada; la información de tarjetas de crédito sin CVV vale menos, pero vale. En caso de que el cifrado de Sony no sea lo suficientemente robusto, este procedimiento de seguridad podría ser decodificado y la información de las tarjetas de crédito de los usuarios podría quedar a merced de los ciberdelincuentes.

Al igual que las recomendaciones publicadas ayer en GamerFocus.net, De Los Santos recomienda evitar responder a supuestos correos en los que haciéndose pasar por Sony u otra compañía seria le pidan a los usuarios información como claves y cuentas bajo la excusa de reestablecer el servicio. Esta técnica se conoce como phising, es un delito cibernético y ya está pasando en Xbox Live.