Tras el anuncio de Sony de que sus sistemas habían sido atacados por un intruso que habría robado los datos personales de todos los clientes de PlayStation Network, la organización de consumidores FACUA-Consumidores en Acción, ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra una investigación sobre Sony para determinar si se ha vulnerado el "principio de seguridad de los datos", regulado en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por no contar con las suficientes medidas de seguridad en su red.
Según esta norma el responsable del fichero debe adoptar las medidas necesarias que impidan su acceso no autorizado, entre otras cuestiones, por lo que la existencia del agujero de seguridad que ha permitido el acceso a un intruso, podría suponer su incumplimiento.
Para CPP esta noticia "simplemente evidencia que los estafadores de identidad y los hackers están equipados con la tecnología y el conocimiento necesarios para robar datos personales, estén donde estén. Aunque existen muchas formas de reducir el riesgo de convertirse en víctima de un robo de identidad, nunca puedes garantizar al 100% que eres invulnerable."
Por otra parte en Estados Unidos ya se ha interpuesto una demanda contra Sony por los mismos motivos, en la que Kristopher Johns de Birmingham, Alabama, acusa a la compañía japonesa de no tener no tener "cuidado razonable para proteger y cifrar los datos privados y confidenciales de sus usuarios."
Sony detuvo sus sistemas, alegando inicialmente labores de mantenimiento para, días más tarde (demasiados según algunas opiniones), anunciar que había sido objeto del ataque de un intruso que podía haber obtenido los datos de más de 70 millones de usuarios, todos los registrados en PlayStation Network y Qriocity. Entre los datos expuestos se encuentran los nombres, direcciones, contraseñas y preguntas de seguridad, pero también podrían haber obtenido el número de tarjeta de crédito y su fecha de caducidad, aunque la compañía descarta que hayan podido acceder a los códigos de seguridad.
¿Qué riesgos corren los usuarios de PlayStation Network?
Los clientes de Sony que tuvieran cuenta en estos servicios quedan expuestos a diferentes riesgos dependiendo de los datos que hubiesen facilitado y de si el intruso ha tenido realmente acceso a los datos de las tarjetas de crédito o no, algo que Sony ni confirma ni puede descartar.
Aquellos usuarios que acostumbran a utilizar una misma contraseña para todos los sitios, estarán expuestos al acceso a todos sus datos en dichos sitios, incluyendo correo electrónico, redes sociales, etc, lo que a su vez podría proporcionar nueva información al atacante.
Por otra parte, el acceso a los datos bancarios puede conducir, según CPP a la contratación de créditos, adquisición de bienes en tu nombre o, directamente, la extracción de todo el dinero, de los que sólo tendrás constancia al revisar el estado de cuentas. En España hay unos tres millones de usuarios afectados, de los que aproximadamente el 11% habría facilitado su número de tarjeta de crédito.
Además, los responsables del robo, o terceros a los que vendan la información, podrían suplantar tu identidad para cometer delitos.
¿Qué precauciones puedes tomar?
Desde la propia página de Sony se recomiendan algunas precauciones que puedes tomar para evitar daños mayores:
- No contestes a ninguna comunicación de Sony pidiendo datos personales, ya sea por email, teléfono, carta o cualquier otro modo.
- Si usas en otros sitios el mismo nombre de usuario y contraseña que tenias en los servicios de Sony, cámbialos inmediatamente.
- Revisa regularmente el estado de tus cuentas para detectar lo antes posible cualquier pérdida financiera.
Además, debemos añadir que en caso de detectarse alguna actividad sospechosa debes ponerlo inmediatamente en conocimiento de la Policia Nacional o a la Guardia Civil.
Otra medida de prudencia puede ser cancelar la tarjeta de crédito asociada a los servicios de Sony y solicitar una nueva al banco. Durante unos días no tendrás tarjeta, pero te aseguras de estar a salvo, aunque finalmente los atacantes hayan podido obtener estos datos.
