El ataque que sufrió PlayStation Network de Sony, servicio de juegos online para consolas Playstation, a finales de abril de 2011, no tiene precedentes en los anales de la ciberdelincuencia.
Varias decenas de millones de usuarios afectados, millones de datos confidenciales comprometidos, incluyendo contraseñas y millones de claves bancarias. Este acto de piratería a gran escala lanza una clara advertencia a las empresas que albergan y administran los datos confidenciales de sus clientes.
Luis Delabarre, director técnico de France de Trend Micro nos explica las lecciones que se deben sacar de este robo digital histórico.
CCM - ¿Qué significa el ataque del que fue objeto Playstation Network de Sony desde el punto de vista de la evolución de las técnicas cibercriminales?
Luis Delabarre - No tenemos, actualmente, bastantes elementos técnicos para cualificar este ataque.
De manera general, este ataque confirma que los datos confidenciales, incluyendo datos relacionados a un medio de pago, representan desde ahora en adelante un blanco privilegiado ya que las motivaciones son esencialmente financieras. Prefiero hablar más bien de cibercriminales o ciberdelincuentes que de hackers (antes motivados por la hazaña técnica o la curiosidad).
En consecuencia, las técnicas evolucionan muy rápidamente para volverse más complejas. Varios vectores pueden ser combinados para que la detección de los ataques sea más difícil y aumentar su eficacia. Es por eso que, las nuevas soluciones de protección también deben combinar las técnicas y ser extremadamente dinámicas.
CCM - ¿Había un medio de evitar este ataque?
LD - Como no tenemos mucha información técnica sobre el modo operatorio de este ataque, es bastante difícil de responder a esta pregunta.
Además de la necesidad de evitar los ataques, es también importante disminuir o suprimir el impacto. No tenemos prueba de que los datos vinculados al pago hubieran sido robados y explotados. Sony afirmaba que los números de tarjetas de créditos fueron cifrados. Sin embargo, Sony admitió después que miles de usuarios de su sistema de juegos en línea Sony Online Entertainment (SOE) fueron víctimas del robo de sus claves bancarias.
Al nivel de las empresas, esta reducción del impacto de un ataque pasa por la utilización de técnicas a tales como el cifrado de los datos. Para los usuarios particulares de la red Playstation Network de Sony, por ejemplo pasa por la utilización de contraseñas complejas y sobre todo únicas. Existen varios medios de alcanzar este objetivo como la utilización de prefijo o sufijo próximo del identificador del servicio utilizado, por ejemplo Yah para Yahoo, Gog para Gmail-combinado con una palabra compleja.
CCM - ¿A cuáles tipos de empresas y de redes son blanco de este tipo de ataque?
LD - Todas las empresas que conservan o almacenan datos confidenciales, en particular los datos vinculados a todos los tipos de pago, son susceptibles de ser el blanco de este tipo de ataques.
Es por otra parte la razón principal del paso de certificación PCI-DSS (Payment Card Industry Data Security Standard: Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago). Esta norma define un cierto número de exigencias en materia de seguridad de los datos de las tarjetas bancarias para los e-comerciantes. Particularmente es promovida por Visa y Mastercard para la gestión de las transacciones. PCI-DSS fue creado por el consorcio PCI (Payment Card Industry: Industria de Tarjeta de Pago).
En resumen, es un conjunto de "mejores prácticas" requerido por este consorcio desde que se manipula, se almacena o se trata un medio de pago electrónico.
De hecho, otros ataques sobre los mismos tipos de datos ya han sido clasificados en los Estados Unidos y en Europa.
CCM - ¿Cómo las empresas pueden protegerse contra este tipo de ataques?
LD - Las empresas deben trabajar en el mejoramiento de los medios de defensa existentes, para protegerse contra estos ataques o para disminuir su impacto.
Para ser más preciso, es necesario implementar soluciones de protección, pero también de vigilancia en tiempo real en la medida en que es muy importante detectar lo más rápidamente posible los ataques. La norma PCI-DSS también pone el énfasis en la gestión de los registros y la trazabilidad.
Sin embargo, muchas empresas invirtieron masivamente en este tipo de herramientas e incorporan las últimas soluciones de protección para volver estos ataques inútiles, tales como el cifrado. Es necesario resaltar que la aparición de los modelos económicos cualificados de Cloud, acelerarán la adopción de estas técnicas de cifrado ya que los datos transitan sobre arquitecturas virtualizadas y dinámicas.
Véase también
Comunidad de asistencia y consejos.
Publicado por
Carlos-vialfa
ES