Interrupción de PlayStation Network de 2011

De Wikipedia, la enciclopedia libre
Interrupción de PlayStation Network de 2011

Logo de PlayStation Network
Datos generales
Tipo "Intrusión externa", Filtración de datos
Causa delito informático
Objetivo Servicios de PlayStation Network y Qriocity
Histórico
Fecha de inicio 20 de abril al 14 de mayo de 2011
Fecha de fin 14 de mayo de 2011
Duración 23 días (3 semanas y 2 días)
Desenlace
Resultado
  • Servicios restaurados después de 23 días de inactividad, con compensación ofrecida a los usuarios de PSN
  • Datos personales expuestos para 77 millones de cuentas de PlayStation Network
  • 171 millones de dólares en costos para Sony
  • Múltiples demandas, lo que llevó a la modificación de los términos y condiciones de PSN
[editar datos en Wikidata]

La interrupción de PlayStation Network de 2011 (a veces denominada PSN Hack) fue el resultado de una "intrusión externa" en los servicios de PlayStation Network y Qriocity de Sony, en la que se vieron comprometidos datos personales de aproximadamente 77 millones de cuentas y se impidió que los usuarios de PlayStation 3 y las consolas PlayStation Portable accedan al servicio.[1][2][3][4]​ El ataque ocurrió entre el 17 y el 19 de abril de 2011,[1]​ obligando a Sony a desactivar los servidores de PlayStation Network el 20 de abril. El 4 de mayo, Sony confirmó que se había expuesto información de identificación personal de cada una de las 77 millones de cuentas.[5]​ La interrupción duró 23 días.[6]

En el momento de la interrupción, con un recuento de 77 millones de cuentas de PlayStation Network registradas,[7]​ no solo se trataba de una de las brechas de seguridad de datos más grandes, sino también de la interrupción de PS Network más larga de la historia.[8][9]​ Superó al hackeo a TJX de 2007 que afectó a 45 millones de clientes.[10]​ Funcionarios gubernamentales de varios países expresaron su preocupación por el robo y el retraso de Sony de una semana antes de advertir a sus usuarios.

Sony declaró el 26 de abril que estaba tratando de poner en funcionamiento los servicios en línea «dentro de una semana».[11]​ El 14 de mayo, Sony lanzó la versión 3.61 del firmware de PlayStation 3 como un parche de seguridad. El firmware requería que los usuarios cambiaran la contraseña de su cuenta al iniciar sesión. En el momento en que se lanzó el firmware, la red aún estaba fuera de línea.[12]​ La restauración regional fue anunciada por Kazuo Hirai en un video de Sony.[13]​ Se compartió un mapa de restauración regional y la red dentro de los Estados Unidos a medida que el servicio volvía a estar en línea.[14]

Antecedentes[editar]

En marzo de 2010, Sony lanzó una actualización de firmware para PlayStation 3,[15]​ en el que se parcheó una funcionalidad para usar sistemas operativos de terceros, como Linux, en el sistema.[16]​ Esto había causado indignación en la comunidad de modding del sistema, ya que los sistemas operativos de terceros se usaban con frecuencia en la modificación.

El 2 de enero de 2011, George Hotz logró hacer jailbreak al firmware de PlayStation 3.[17]​ Un día después, había comenzado a distribuir el jailbreak a través de su sitio web.

El 11 de enero de 2011, Sony había presentado una demanda contra Hotz, por distribuir software para hacer jailbreak a sus sistemas en su sitio web.[18]

El 2 de abril de 2011, un grupo de hackers que decían ser Anonymous, habían declarado la "Operación Sony".[16]​ Más tarde, esa misma semana, el 11 de abril, Sony retiró la demanda con Hotz.[19]

El 13 de abril, el grupo había lanzado un video en texto a voz, llamando a "Un día de protesta contra Sony".[16]

Cronología de la interrupción[editar]

El 20 de abril de 2011, Sony reconoció en el blog oficial de PlayStation que estaba «consciente de que ciertas funciones de PlayStation Network» estaban inactivas. Al intentar iniciar sesión a través de PlayStation 3, los usuarios recibieron un mensaje que indicaba que la red estaba «en mantenimiento».[20][21]​ Al día siguiente, Sony pidió paciencia a sus clientes mientras se investigaba la causa de la interrupción y afirmó que podría tomar «uno o dos días completos» para que el servicio volviese a funcionar por completo.[22]

La empresa anunció más tarde que una "intrusión externa" había afectado los servicios de PlayStation Network y Qriocity.[23]​ Esta intrusión ocurrió entre el 17 y el 19 de abril. El 20 de abril, Sony suspendió todos los servicios de PlayStation Network y Qriocity en todo el mundo.[21]​ Sony expresó su pesar por el tiempo de inactividad y calificó la tarea de reparar el sistema como "lenta", pero conduciría a una infraestructura de red más sólida y seguridad adicional.[24]​ El 25 de abril, el portavoz de Sony, Patrick Seybold, reiteró en el blog de PlayStation que arreglar y mejorar la red era un proceso que "requería mucho tiempo" sin un tiempo estimado de finalización.[25]​ Sin embargo, al día siguiente, Sony declaró que había un «camino claro para que los sistemas PlayStation Network y Qriocity vuelvan a estar en línea», y que se esperaba que algunos servicios se restablezcan dentro de una semana. Además, Sony reconoció el «compromiso de la información personal como resultado de una intrusión ilegal en nuestros sistemas».[26]

El 1 de mayo, Sony anunció un programa de "Bienvenido de nuevo" para los clientes afectados por la interrupción. La empresa también confirmó que algunos servicios de PSN y Qriocity estarían disponibles durante la primera semana de mayo.[16][27]​ La lista de servicios que se esperaba que estuvieran disponibles incluía:[16]

  • Restauración de la jugabilidad en línea en los sistemas PlayStation 3 (PS3) y PSP (PlayStation Portable)
  • Esto incluye títulos que requieren verificación en línea y juegos descargados
  • Acceso a Music Unlimited impulsado por Qriocity para PS3/PSP para suscriptores existentes
  • Acceso a administración de cuentas y restablecimiento de contraseñas
  • Acceso para descargar Movie Rentals vigentes en PS3, PSP y MediaGo
  • PlayStation Home
  • Lista de amigos
  • Funcionalidad de chat

El 2 de mayo, Sony emitió un comunicado de prensa, según el cual los servicios de Sony Online Entertainment (SOE) se habían desconectado por mantenimiento debido a actividades potencialmente relacionadas durante el hackeo criminal inicial. Es posible que se haya accedido a más de 12 000 números de tarjetas de crédito, aunque en forma encriptada, de titulares de tarjetas no estadounidenses e información adicional de 24,7 millones de cuentas SOE.[28][29]

Durante la semana, Sony envió una carta a la Cámara de Representantes de EE. UU., respondiendo preguntas e inquietudes sobre el evento.[30]​ En la carta, Sony anunció que proporcionaría pólizas de seguro contra el robo de identidad por un monto de 1 millón de dólares por usuario de los servicios de PlayStation Network y Qriocity, a pesar de que no se indicaron informes de fraude con tarjetas de crédito. Esto se confirmó más tarde en el blog de PlayStation, donde se anunció que el servicio AllClear ID Plus impulsado por Debix, estaría disponible para los usuarios en los Estados Unidos de forma gratuita durante 12 meses e incluiría vigilancia en Internet, reparación completa de la identidad en caso de robo y una póliza de seguro de robo de identidad de 1 millón de dólares para cada usuario.[31][32]

El 6 de mayo, Sony declaró que había comenzado las «etapas finales de pruebas internas» para PlayStation Network, que había sido reconstruida.[33]​ Sin embargo, al día siguiente, Sony informó que no podrían volver a poner los servicios en línea dentro del plazo de una semana que habían dado el 1 de mayo, porque «el alcance del ataque a los servidores de Sony Online Entertainment» no se conocía en ese momento.[34]​ SOE confirmó en su cuenta de Twitter que sus videojuegos no estarían disponibles hasta después del fin de semana.[35]

Reuters comenzó a informar sobre el evento como «el mayor robo de seguridad en Internet de la historia».[36]​ Un portavoz de Sony dijo:[37]

  • Sony había eliminado los datos personales de 2500 personas robados por piratas informáticos y publicados en un sitio web.
  • Los datos incluían nombres y algunas direcciones, que estaban en una base de datos creada en 2001
  • No se ha fijado fecha para el reinicio

El 14 de mayo, varios servicios comenzaron a volver a estar en línea país por país, comenzando con América del Norte.[38]​ Estos servicios incluían: inicio de sesión para los servicios de PSN y Qriocity (incluido el restablecimiento de contraseña), jugabilidad en línea en PS3 y PSP, reproducción de contenido de video de alquiler, servicio Music Unlimited (PS3 y PC), acceso a servicios de terceros (como Netflix, Hulu, Vudu y MLB.tv), lista de amigos, funcionalidad de chat y PlayStation Home.[38]​ Las acciones llegaron con una actualización de firmware para PS3, versión 3.61.[12]​ Al 15 de mayo, el servicio en Japón y el este de Asia aún no había sido aprobado.[39]

El 18 de mayo, SOE cerró la página de restablecimiento de contraseña en su sitio luego del descubrimiento de otro exploit[40]​ que permitía a los usuarios restablecer las contraseñas de otros usuarios, utilizando la dirección de correo electrónico y la fecha de nacimiento del otro usuario.[41]​ También se deshabilitó el inicio de sesión con los detalles de PSN en varios otros sitios web de Sony, pero los inicios de sesión en las consolas no se vieron afectados.[40]

El 23 de mayo, Sony declaró que los costos de la interrupción fueron de 171 millones de dólares.[42]

Respuesta de Sony[editar]

Cámara de Representantes de EE. UU.[editar]

Sony informó el 4 de mayo en el Blog de PlayStation[30]​ que:

Kazuo Hirai, presidente de la junta directiva de Sony Computer Entertainment America, envió respuestas por escrito a las preguntas formuladas por el subcomité de la Cámara de Representantes de los Estados Unidos sobre el ciberataque criminal a gran escala que hemos experimentado.

Sony transmitió a través de la carta que:

En resumen, le dijimos al subcomité que al lidiar con este ciberataque seguimos cuatro principios clave:
  1. Actuar con cuidado y precaución.
  2. Brindar información relevante al público cuando haya sido verificada.
  3. Asumir la responsabilidad de nuestras obligaciones con nuestros clientes.
  4. Trabajar con las autoridades encargadas de hacer cumplir la ley.


También informamos al subcomité de lo siguiente:

  • Sony ha sido víctima de un ciberataque criminal muy sofisticado, muy profesional y muy cuidadosamente planeado.
  • Descubrimos que los intrusos habían colocado un archivo en uno de nuestros servidores de Sony Online Entertainment llamado "Anonymous" con las palabras "Somos Legión".
  • Para el 25 de abril, los equipos forenses pudieron confirmar el alcance de los datos personales que creían que se habían tomado y no pudieron descartar si se había accedido a la información de las tarjetas de crédito. El 26 de abril, notificamos a los clientes de esos hechos.
  • Hasta el día de hoy, las principales empresas de tarjetas de crédito no han reportado ninguna transacción fraudulenta que crean que sea el resultado directo de este ataque cibernético.
  • La protección de los datos personales de las personas es la máxima prioridad y también es esencial garantizar que Internet sea segura para el comercio. En todo el mundo, los países y las empresas deberán unirse para garantizar la seguridad del comercio a través de Internet y encontrar formas de combatir el delito cibernético y el terrorismo cibernético.
  • Estamos tomando una serie de medidas para evitar futuras infracciones, incluidos niveles mejorados de protección y cifrado de datos; capacidad mejorada para detectar intrusiones de software, acceso no autorizado y patrones de actividad inusuales; cortafuegos adicionales; establecimiento de un nuevo centro de datos en una ubicación no revelada con mayor seguridad; y el nombramiento de un nuevo Director de Seguridad de la Información (CISO).

Explicación de los retrasos[editar]

El 26 de abril de 2011, Sony explicó en el blog de PlayStation por qué tardó tanto en informar a los usuarios de PSN sobre el robo de datos:[43]

Hay una diferencia de tiempo entre el momento en que identificamos que hubo una intrusión y el momento en que nos enteramos de que los datos de los consumidores estaban comprometidos. Nos enteramos de que hubo una intrusión el 19 de abril y, posteriormente, cerramos los servicios. Luego trajimos a expertos externos para que nos ayudaran a saber cómo ocurrió la intrusión y realizar una investigación para determinar la naturaleza y el alcance del incidente. Fue necesario realizar varios días de análisis forense, y nuestros expertos tardaron hasta ayer en comprender el alcance de la infracción. Luego compartimos esa información con nuestros consumidores y la anunciamos públicamente esta tarde.

Investigación de Sony[editar]

El posible robo de datos llevó a Sony a proporcionar una actualización con respecto a una investigación criminal en un blog publicado el 27 de abril: «Actualmente estamos trabajando con las fuerzas del orden en este asunto, así como con una firma de seguridad tecnológica reconocida para realizar una investigación completa. Este ataque malicioso contra nuestro sistema y contra nuestros clientes es un acto criminal y estamos procediendo agresivamente para encontrar a los responsables».[44]

El 3 de mayo, el director ejecutivo de Sony Computer Entertainment, Kazuo Hirai, reiteró esto y dijo que la "intrusión externa" que había provocado que cerraran PlayStation Network constituía un "ataque cibernético criminal".[45]​ Hirai amplió aún más, alegando que los sistemas de Sony habían estado bajo ataque antes de la interrupción «durante el último mes y medio», lo que sugiere un intento concertado de apuntar a Sony.[46]

El 4 de mayo, Sony anunció que agregaría Data Forte al equipo de investigación de Guidance Software y Protiviti para analizar los ataques. Los aspectos legales del caso fueron manejados por Baker & McKenzie.[47]​ Sony expresó su creencia de que Anonymous, un grupo de piratas informáticos y activistas descentralizados, no organizados y poco afiliados, pudo haber realizado el ataque.[48]​ Ningún Anon reclamó ninguna participación.[49]

Al enterarse de que se había producido una infracción, Sony inició una investigación interna. Sony informó, en su carta al Congreso de los Estados Unidos:

Una de nuestras primeras llamadas fue al FBI, y esta es una investigación activa y en curso.

¿Han identificado cómo ocurrió la brecha?

Sí, creemos que sí. Sony Network Entertainment America continúa su investigación sobre esta intrusión criminal, y se podría descubrir información más detallada durante este proceso. Somos reacios a poner todos los detalles a disposición del público porque la información es objeto de una investigación criminal en curso y también podría usarse para explotar vulnerabilidades en sistemas que no sean de Sony que tengan una arquitectura similar a PlayStation Network.[50]

Incapacidad para usar el contenido de PlayStation 3[editar]

Si bien la mayoría de los videojuegos permanecieron jugables en sus modos fuera de línea, PlayStation 3 no pudo reproducir ciertos títulos de Capcom de ninguna forma. Los proveedores de streaming de video en diferentes regiones, como Hulu, Vudu, Netflix y LoveFilm, mostraban el mismo mensaje de mantenimiento. Algunos usuarios afirmaron poder usar el servicio de streaming de Netflix[51]​ pero otros no pudieron.[52]

Críticas a Sony[editar]

Aviso retrasado de posible robo de datos[editar]

El modelo original de PlayStation 3

El 26 de abril, casi una semana después de la interrupción, Sony confirmó que «no puede descartar la posibilidad»[53]​ de que la información de identificación personal, como el nombre de usuario, la contraseña, la dirección particular y la dirección de correo electrónico de la cuenta de PlayStation Network, se haya visto comprometida. Sony también mencionó la posibilidad de que se tomaran datos de tarjetas de crédito, después de afirmar que se había colocado el cifrado en las bases de datos, lo que satisfaría parcialmente el cumplimiento del estándar PCI para almacenar información de tarjetas de crédito en un servidor. Después del anuncio tanto en el blog oficial como por correo electrónico, se pidió a los usuarios que protegieran las transacciones con tarjeta de crédito revisando los extractos bancarios. Esta advertencia llegó casi una semana después de la "intrusión externa" inicial y mientras la red estaba apagada.[54]

Algunos cuestionaron esta explicación y preguntaron que si Sony consideró que la situación era tan grave que tuvo que apagar la red, Sony debería haber advertido a los usuarios sobre un posible robo de datos antes del 26 de abril.[55]​ Se expresaron preocupaciones sobre las violaciones del cumplimiento del estándar PCI y la falta de notificación inmediata a los usuarios. El senador estadounidense Richard Blumenthal escribió al director ejecutivo de Sony Computer Entertainment America, Jack Tretton, cuestionando la demora.[56]

Sony respondió en una carta al subcomité:

Su declaración indica que no tiene evidencia en este momento de que se haya obtenido información de las tarjetas de crédito, pero no puede descartar esta posibilidad. Explique por qué no cree que se haya obtenido la información de las tarjetas de crédito y por qué no puede determinar si de hecho se tomaron los datos.


Como se indicó anteriormente, Sony Network Entertainment America no ha podido concluir con certeza a través del análisis forense realizado hasta la fecha que la información de las tarjetas de crédito no se haya transferido desde el sistema PlayStation Network. Sabemos que para otra información personal contenida en la base de datos de las cuentas, el pirata informático realizó consultas a la base de datos y los equipos forenses externos han visto grandes cantidades de datos transferidos en respuesta a esas consultas. Nuestros equipos forenses no han visto las consultas y transferencias de datos correspondientes de la información de las tarjetas de crédito.

Datos personales sin cifrar[editar]

Los datos de las tarjetas de crédito estaban encriptados, pero Sony admitió que otra información del usuario no estaba encriptada en el momento de la intrusión.[44][57]The Daily Telegraph informó que «si el proveedor almacena contraseñas sin cifrar, entonces es muy fácil para otra persona (no solo un atacante externo, sino miembros del personal o contratistas que trabajan en el sitio de Sony) obtener acceso y descubrir esas contraseñas, potencialmente usándolas para medios nefastos».[58]​ El 2 de mayo, Sony aclaró el estado "no cifrado" de las contraseñas de los usuarios, afirmando que:[59]

Si bien las contraseñas que se almacenaron no estaban "encriptadas", se transformaron mediante una función hash criptográfica. Hay una diferencia entre estos dos tipos de medidas de seguridad, por eso dijimos que las contraseñas no habían sido encriptadas. Pero quiero dejar muy claro que las contraseñas no se almacenaron en nuestra base de datos en forma de texto claro.

Oficina de Comisionados de Información Británicos[editar]

Tras una investigación formal de Sony por infracciones a la Ley de Protección de Datos de Reino Unido de 1998, la Oficina del Comisionado de Información emitió una declaración muy crítica sobre la seguridad que tenía Sony:

Si son responsables de tantos detalles de la tarjetas de pago y detalles de inicio de sesión, su prioridad debe ser mantener esos datos personales seguros. En este caso, eso simplemente no sucedió, y cuando la base de datos fue atacada (aunque en un ataque criminal determinado) las medidas de seguridad implementadas simplemente no fueron lo suficientemente buenas. No se puede ocultar que este es un negocio que debería haber sabido mejor. Es una empresa que comercia con su experiencia técnica, y no tengo ninguna duda de que tenían acceso tanto al conocimiento técnico como a los recursos para mantener esta información segura.[60]

Interrupción de Sony Online Entertainment[editar]

El 3 de mayo, Sony declaró en un comunicado de prensa que puede haber una correlación entre el ataque ocurrido el 16 de abril hacia PlayStation Network y el que comprometió a Sony Online Entertainment el 2 de mayo.[28]​ Esta parte del ataque resultó en el robo de información de 24,6 millones de titulares de cuentas de Sony Online Entertainment. La base de datos contenía 12 700 números de tarjetas de crédito, particularmente de no residentes en los EE. UU., y no había estado en uso desde 2007, ya que gran parte de los datos se aplicaban a tarjetas vencidas y cuentas eliminadas. Sony actualizó esta información al día siguiente al afirmar que solo 900 tarjetas en la base de datos seguían siendo válidas.[61]​ El ataque resultó en la suspensión de los servidores SOE y los videojuegos de Facebook. SOE otorgó 30 días gratuitos, más un día por cada día que el servidor estuvo inactivo, a los usuarios de Clone Wars Adventures, DC Universe Online, EverQuest, EverQuest II, EverQuest Online Adventures, Free Realms, Pirates of the Burning Sea, PlanetSide, Poxnora, Star Wars Galaxies y Vanguard: Saga of Heroes, así como otras formas de compensación para todos los demás videojuegos de Sony Online.

Los expertos en seguridad Eugene Lapidous de AnchorFree, Chester Wisniewski de Sophos Canada y Avner Levin de la Universidad de Ryerson (ahora Universidad Metropolitana de Toronto) criticaron a Sony y cuestionaron sus métodos para proteger los datos de los usuarios. Lapidous calificó la intrusión como «difícil de excusar» y Wisniewski la calificó como «un acto de arrogancia o simplemente incompetencia grave».[62][63][64][65]

Reacciones[editar]

Compensación a los usuarios[editar]

Sony organizó eventos especiales después de que PlayStation Network volviera a funcionar. Sony declaró que tenían planes para las versiones de PS3 de DC Universe Online y Free Realms para ayudar a aliviar algunas de sus pérdidas.[66]​ En una conferencia de prensa en Tokio el 1 de mayo, Sony anunció un programa titulado "Bienvenido de nuevo". Además del «contenido seleccionado de entretenimiento de PlayStation», el programa prometió incluir 30 días de membresía gratuita de PlayStation Plus para todos los miembros de PSN, mientras que los miembros existentes de PlayStation Plus recibieron 30 días adicionales en su suscripción. Los suscriptores de Qriocity recibieron 30 días. Sony prometió otros contenidos y servicios durante las siguientes semanas.[27]

Hulu compensó a los usuarios de PlayStation 3 por no poder utilizar su servicio durante la interrupción ofreciendo una semana de servicio gratuito a los miembros de Hulu Plus.[67]

El 16 de mayo de 2011, Sony anunció que se ofrecerían dos videojuegos de PlayStation 3 de una lista de cinco videojuegos y dos videojuegos de PSP de una lista de cuatro videojuegos,[nota 1]​ todo esto de forma gratuita.[69][70]​ Los videojuegos disponibles variaban según la región[69][70]​ y solo estaban disponibles en países que tenían acceso a PlayStation Store antes de la interrupción.[70]​ El 27 de mayo de 2011, Sony anunció el paquete de "Bienvenido de nuevo" para Japón[68]​ y la región de Asia (Hong Kong, Singapur, Malasia, Tailandia e Indonesia).[71]​ En la región de Asia, se ofreció un tema, Dokodemo Issyo Spring Theme, de forma gratuita además de los videojuegos disponibles en el paquete "Bienvenido de nuevo".[71]

Videouegos de PS3 disponibles por región
Videojuego América del Norte[69] Europa (sin Alemania)[70] Alemania[70] Asia[71] Japón[68]
Wipeout HD/Fury Sí  Sí  Sí  Sí  Sí 
LittleBigPlanet Sí  Sí  Sí  No No No No
InFamous Sí  Sí  No No No No No No
Dead Nation Sí  Sí  No No No No No No
Super Stardust HD Sí  No No Sí  No No No No
Ratchet & Clank: En busca del tesoro No No Sí  Sí  No No No No
Hustle Kings No No No No Sí  Sí  Sí 
The Last Guy No No No No No No Sí  Sí 
Trashbox No No No No No No Sí  No No
LocoRoco Cocoreccho! No No No No No No Sí  Sí 
Echochrome: Overture No No No No No No No No Sí 
Videojuegos de PSP disponibles por región
Juego América del Norte[69] Europa (sin Alemania)[70] Alemania[70] Asia[71] Japón[68]
LittleBigPlanet Sí  Sí  Sí  Sí  Sí 
ModNation Racers Sí  Sí  Sí  Sí  No No
Pursuit Force Sí  Sí  No No No No No No
Killzone: Liberation[nota 2] Sí  Sí  No No No No No No
Everybody's Golf 2 No No No No Sí  No No No No
Buzz! Junior: Jungle Party No No No No Sí  No No No No
Everybody's Stress Buster No No No No No No Sí  Sí 
LocoRoco Midnight Carnival No No No No No No Sí  Sí 
Patapon 2 No No No No No No No No Sí 
What Did I Do to Deserve This, My Lord? No No No No No No No No Sí 

Reacciones políticas alrededor del mundo[editar]

El robo de datos preocupó a las autoridades de todo el mundo. Graham Cluley, consultor sénior de tecnología de Sophos, dijo que la brecha «ciertamente se ubica como una de las mayores pérdidas de datos que jamás haya afectado a las personas».[72]

La Oficina del Comisionado de Información Británico declaró que se interrogaría a Sony, y que se llevaría a cabo una investigación para descubrir si Sony había tomado las precauciones adecuadas para proteger los detalles de los clientes.[73]​ Según la Ley de Protección de Datos de Reino Unido, Sony fue multada con 250 mil libras esterlinas por la infracción.[74]

La comisionada de privacidad de Canadá, Jennifer Stoddart, confirmó que las autoridades canadienses investigarían el asunto. La oficina del Comisionado expresó su preocupación sobre por qué las autoridades de Canadá no fueron informadas antes de esta brecha de seguridad.[75]

El senador estadounidense Richard Blumenthal de Connecticut exigió respuestas de Sony sobre la filtración de datos[76]​ enviando un correo electrónico al CEO de SCEA, Jack Tretton, argumentando sobre la demora en informar a sus clientes e insistiendo en que Sony haga más por sus clientes que solo ofrecer servicios gratuitos de informes de crédito. Blumenthal luego solicitó una investigación por parte del Departamento de Justicia de los EE. UU. para encontrar a la persona o personas responsables y determinar si Sony era responsable por la forma en que manejó la situación.[77]

La congresista Mary Bono Mack y el congresista GK Butterfield enviaron una carta a Sony, exigiendo información sobre cuándo se descubrió la brecha y cómo se manejaría la crisis.[78]

Se le pidió a Sony que testificara ante una audiencia del Congreso de los Estados Unidos sobre seguridad y que respondiera preguntas sobre la violación de la seguridad el 2 de mayo de 2011, pero envió una respuesta por escrito.[79]

Acciones legales contra Sony[editar]

El 27 de abril, Kristopher Johns, de Birmingham, Alabama, publicó una demanda en nombre de todos los usuarios de PlayStation alegando que Sony «no cifró los datos ni estableció cortafuegos adecuados para manejar una contingencia de intrusión en el servidor, no proporcionó advertencias rápidas y adecuadas sobre brechas de seguridad y se retrasó injustificadamente en volver a poner el servicio de PSN en línea».[80][81]​ Según la denuncia presentada en la demanda, Sony no notificó a los miembros sobre una posible brecha de seguridad y el almacenamiento de la información de las tarjetas de crédito de los miembros,[82]​ una violación del cumplimiento del estándar PCI, el estándar de seguridad digital para la industria de tarjetas de pago.

Una demanda canadiense contra Sony USA, Sony Canada y Sony Japan reclamó daños y perjuicios de hasta 1000 millones de dólares canadienses, incluido el control de crédito gratuito y el seguro contra el robo de identidad.[83]​ Se citó al demandante diciendo: «Si no puedes confiar en una gran corporación multinacional como Sony para proteger tu información privada, ¿en quién puedes confiar? Me parece que Sony se enfoca más en proteger sus juegos que a sus usuarios de PlayStation».[84]

En octubre de 2012, un juez de California desestimó una demanda contra Sony por la violación de la seguridad de PSN y dictaminó que Sony no había violado las leyes de protección al consumidor de California, citando que "no existe la seguridad perfecta".[85]

Fraudes de tarjeta de crédito[editar]

A fecha de mayo de 2011, no hubo informes verificables de fraude con tarjetas de crédito relacionados con la interrupción. Hubo informes en Internet de que algunos usuarios de PlayStation experimentaron fraude con tarjetas de crédito;[86][87][88]​ sin embargo, aún no habían sido vinculados al incidente. Los usuarios que registraron una tarjeta de crédito para uso exclusivo con Sony también denunciaron fraude con tarjeta de crédito.[89]​ Sony dijo que los códigos CSC solicitados por sus servicios no fueron almacenados,[44]​ pero que era posible que los piratas informáticos hayan podido descifrar o registrar los detalles de la tarjetas de crédito mientras estuvieron dentro de la red de Sony.[86]

El 5 de mayo, una carta del CEO y presidente de Sony Corporation of America, Sir Howard Stringer, enfatizó que no había evidencia de fraude con tarjetas de crédito y que una póliza de seguro contra robo de identidad de 1 millón de dólares estaría disponible para los usuarios de PSN y Qriocity.[32]

Cambio de los términos y condiciones[editar]

Se ha sugerido que un cambio en los términos y condiciones de PlayStation Network anunciado el 15 de septiembre de 2011 estuvo motivado por los grandes daños reclamados por las demandas colectivas contra Sony, en un esfuerzo por minimizar las pérdidas de la empresa. El nuevo acuerdo requería que los usuarios accedieran a renunciar a su derecho (a unirse como grupo en una demanda colectiva) a demandar a Sony por cualquier brecha de seguridad futura, sin intentar primero resolver los problemas legales con un árbitro.[90][91]​ Esto incluyó cualquier demanda colectiva en curso iniciada antes del 20 de agosto de 2011.

Sony garantizó que un tribunal de justicia en el país respectivo, en este caso EE. UU., tendría jurisdicción con respecto a cualquier regla o cambio en los Términos de servicio de PlayStation Network.[92]

Notas[editar]

  1. Se ofrecieron 5 videojuegos de PSP en el mercado japonés.[68]
  2. La versión de Killzone Liberation que se ofreció no incorporaba la funcionalidad de juego en línea.[70]

Referencias[editar]

  1. a b «PlayStation Network Restoration Begins». PlayStation Network / PSN News. Reino Unido: Sony. 17 de mayo de 2011. Archivado desde el original el 3 de marzo de 2016. Consultado el 20 de octubre de 2011. 
  2. «Sony faces legal action over attack on PlayStation network». BBC News. 28 de abril de 2011. Consultado el 29 de abril de 2011. 
  3. Richmond, Shane (26 de abril de 2011). «Millions of internet users hit by massive Sony PlayStation data theft». London: Telegraph. Archivado desde el original el 28 de abril de 2011. Consultado el 29 de abril de 2011. 
  4. Griffith, Chris (27 de abril de 2011). «PlayStation users in Australia urged to check credit card activity». Australian IT (The Australian). Consultado el 20 de noviembre de 2011. 
  5. «Kazuo Hirai's Letter to the U.S. House of Representatives». a photo set by Flickr user PlayStation.Blog. Flickr. 3 de mayo de 2011. Consultado el 20 de octubre de 2011. «Information appears to have been stolen from all PlayStation Network user accounts, although not every piece of information in those accounts appears to have been stolen, [...] The criminal intruders stole personal information from all of the approximately 77 million PlayStation Network and Qriocity service accounts.» 
  6. Good, Owen (20 de mayo de 2011). «Welcome Back PSN: The Winners». Kotaku.com. Consultado el 2 de junio de 2011. 
  7. «PlayStation Network and Qriocity Outage FAQ – PlayStation.Blog.Europe». Blog.eu.playstation.com. 28 de abril de 2011. Consultado el 29 de abril de 2011. 
  8. Chung, Emily (27 de abril de 2011). «PlayStation data breach deemed in 'top 5 ever' - Business - CBC News». Cbc.ca. Consultado el 29 de abril de 2011. 
  9. «Video: Sony PlayStation - Hacker Breaks Into Network And Steals Details Of Millions Of Gamers | Technology | Sky News». News.sky.com. 27 de abril de 2011. Archivado desde el original el 18 de diciembre de 2011. Consultado el 29 de abril de 2011. 
  10. «PlayStation hack: top five data thefts». Londres: Telegraph. 27 de abril de 2011. Consultado el 29 de abril de 2011. 
  11. «PlayStation Network down for seventh day». ComputerAndVideoGames.com. 27 de abril de 2011. Archivado desde el original el 28 de abril de 2011. Consultado el 29 de abril de 2011. 
  12. a b «PS3 System Software Update – PlayStation Blog». Blog.us.playstation.com. 14 de mayo de 2011. Consultado el 16 de mayo de 2011. 
  13. «Kazuo Hirai: PlayStation Network Restoration Announcement – PlayStation Blog». Blog.us.playstation.com. 14 de mayo de 2011. Consultado el 16 de mayo de 2011. 
  14. Seybold, Patrick (2011). «Play On – PSN Restoration Begins Now – PlayStation Blog». blog.us.playstation.com. Consultado el 16 de mayo de 2011. 
  15. «PS3 Firmware (v3.21) Update». PlayStation.Blog (en inglés estadounidense). 28 de marzo de 2010. Consultado el 13 de septiembre de 2022. 
  16. a b c d e PSN Hack Attack Summary (en inglés), IGN, 6 de mayo de 2011, consultado el 13 de septiembre de 2022 .
  17. Hollister, Sean (8 de enero de 2011). «Geohot releases PS3 jailbreak for firmware 3.55, world ceases to have any meaning». Engadget (en inglés estadounidense). Consultado el 13 de septiembre de 2022. 
  18. Patel, Nilay (12 de enero de 2011). «Sony follows up, officially sues Geohot and fail0verflow over PS3 jailbreak». Engadget (en inglés estadounidense). Consultado el 13 de septiembre de 2022. 
  19. Benedetti, Winda (11 de abril de 2011). «Sony and hacker GeoHot call a truce in bitter legal battle». NBC News (en inglés). Consultado el 13 de septiembre de 2022. 
  20. «Update on PSN Service Outages». Estados Unidos: PlayStation Blog. 20 de abril de 2011. Consultado el 29 de abril de 2011. 
  21. a b Phan, Gang (15 de mayo de 2011). «Timeline of Sony's PlayStation Network outage». hken.ibtimes.com. Archivado desde el original el 18 de mayo de 2011. Consultado el 15 de mayo de 2011. 
  22. «Latest Update on PSN Outage». Estados Unidos: PlayStation Blog. 21 de abril de 2011. Consultado el 29 de abril de 2011. 
  23. «Update On PlayStation Network/Qriocity Services». Estados Unidos: PlayStation Blog. 22 de abril de 2011. Consultado el 29 de abril de 2011. 
  24. «Latest Update for PSN/Qriocity Services – PlayStation Blog». Blog.us.playstation.com. 23 de abril de 2011. Consultado el 29 de abril de 2011. 
  25. «PSN Update – PlayStation Blog». Blog.us.playstation.com. 25 de abril de 2011. Consultado el 29 de abril de 2011. 
  26. «Update on PlayStation Network and Qriocity – PlayStation Blog». Blog.us.playstation.com. 19 de abril de 2011. Consultado el 29 de abril de 2011. 
  27. a b Yin-Poole, Wesley (1 de mayo de 2011). «PSN: Sony outlines "Welcome Back" gifts». PlayStation 3 (Reino Unido: Eurogamer). Consultado el 20 de octubre de 2011. 
  28. a b «Service Under Maintenance». SOE. 31 de marzo de 2010. Archivado desde el original el 2 de febrero de 2013. Consultado el 4 de mayo de 2011. 
  29. Reeves, Ben (2 de mayo de 2011). «Sony Confirms Thousands Of Credit Cards Stolen During Hack - GameInformer News». gameinformer.com. Consultado el 2 de mayo de 2011. 
  30. a b «Sony's Response to the U.S. House of Representatives – PlayStation Blog». Blog.us.playstation.com. 4 de mayo de 2011. Consultado el 7 de mayo de 2011. 
  31. «Sony Offering Free 'AllClear ID Plus' Identity Theft Protection in the United States through Debix, Inc. – PlayStation Blog». Blog.us.playstation.com. 5 de mayo de 2011. Consultado el 7 de mayo de 2011. 
  32. a b «A Letter from Howard Stringer – PlayStation Blog». Blog.us.playstation.com. 5 de mayo de 2011. Consultado el 7 de mayo de 2011. 
  33. «Important Step for Service Restoration – PlayStation.Blog.Europe». Blog.eu.playstation.com. 6 de mayo de 2011. Consultado el 7 de mayo de 2011. 
  34. JC Fletcher (6 de mayo de 2011). «PSN reactivation delayed for 'further testing,' likely not coming back this week». Joystiq. Archivado desde el original el 8 de mayo de 2011. Consultado el 7 de mayo de 2011. 
  35. Sony Online Entertainment (2011). «Twitter / @Sony Online Ent.: We wanted to let you know ...». twitter.com. Consultado el 16 de mayo de 2011. 
  36. Reynolds, Isabel (6 de mayo de 2011). «Sony CEO apologises for data theft; shares fall 2 pct». Reuters. Consultado el 7 de mayo de 2011. 
  37. Reynolds, Isabel (6 de mayo de 2011). «Sony removes data posted by hackers, delays PlayStation restart». Reuters. Consultado el 10 de octubre de 2013. 
  38. a b «Sony Global - News Releases - RESTORATION OF PLAYSTATIONNETWORK AND QRIOCITY SERVICES BEGINS». Sony. 15 de mayo de 2011. Consultado el 15 de mayo de 2011. 
  39. Mochizuki, Takashi (15 de mayo de 2011). «Japan Restart of Sony Online Games Services Not Yet Approved». FoxBusiness.com. Archivado desde el original el 3 de junio de 2011. Consultado el 2 de junio de 2011. 
  40. a b Yin-Poole, Wesley (18 de mayo de 2011). «Sony's PSN password page exploit». Eurogamer. Consultado el 18 de mayo de 2011. 
  41. Johnson, Joel (18 de mayo de 2011). «Report: Sony PlayStation Network Password Reset Page Exploited, Customer Accounts Potentially Compromised». Kotaku. Consultado el 18 de mayo de 2011. 
  42. «PlayStation Hack to Cost Sony $171M; Quake Costs Far Higher». PC Magazine. 23 de mayo de 2011. Consultado el 17 de marzo de 2023. 
  43. «Clarifying a Few PSN Points – PlayStation Blog». Blog.us.playstation.com. 26 de abril de 2011. Consultado el 7 de mayo de 2011. 
  44. a b c «Q&A #1 for PlayStation Network and Qriocity Services – PlayStation Blog». Blog.us.playstation.com. 27 de abril de 2011. Consultado el 29 de abril de 2011. 
  45. Watt, Peggy (30 de abril de 2011). «Sony: PlayStation Network Resumes This Week». pcworld.com. Consultado el 2 de mayo de 2011. 
  46. Fletcher, JC (1 de mayo de 2011). «PSN 'welcome back program' includes a free download, 30 days free PlayStation Plus, Qriocity». joystiq.com. Archivado desde el original el 15 de julio de 2012. Consultado el 2 de mayo de 2011. 
  47. Hillier, Brenna (4 de mayo de 2011). «Another team added to Sony's PSN investigation». VG247. Consultado el 4 de mayo de 2011. 
  48. Bartz, Diane (26 de abril de 2011). «Sony blames Anonymous for stage-setting theft». Reuters. Consultado el 4 de mayo de 2011. 
  49. Takahashi, Dean (22 de abril de 2011). «Hackers deny involvement in PlayStation Network outage». VentureBeat. Consultado el 9 de junio de 2011. 
  50. Edwards, Cliff (26 de abril de 2011). «PlayStation Hackers May Have Stolen Data on 75 Million Users, Sony Says». Bloomberg. Consultado el 29 de abril de 2011. 
  51. Barrera, Rey (25 de abril de 2011). «Netflix Still Works On Your PS3, Despite The Outage». PSNation. Archivado desde el original el 27 de abril de 2011. Consultado el 25 de abril de 2011. 
  52. Roettgers, Janko. «PlayStation Network Outage Bad News for Netflix and Hulu: Online Video News». Gigaom.com. Archivado desde el original el 29 de abril de 2011. Consultado el 29 de abril de 2011. 
  53. «BBC News - Sony's PlayStation hack apology». Bbc.co.uk. 19 de abril de 2011. Consultado el 29 de abril de 2011. 
  54. Reynolds, Isabel (26 de abril de 2011). «Furore at Sony after Playstation user data stolen». Reuters. Consultado el 29 de abril de 2011. 
  55. Stewart, Mitchell (27 de abril de 2011). «Sony Defends Notification Delay in Data Fiasco». PC Pro. Archivado desde el original el 30 de abril de 2011. Consultado el 29 de abril de 2011. 
  56. Molina, Brett (26 de abril de 2011). «Senator: Lack of details on PlayStation Network outage 'troubling'». USAToday. Archivado desde el original el 30 de abril de 2011. Consultado el 29 de abril de 2011. 
  57. Stuart, Keith (27 de abril de 2011). «PlayStation Network hack: why it took Sony seven days to tell the world | Technology | guardian.co.uk». Londres: Guardian. Consultado el 29 de abril de 2011. 
  58. Williams, Christopher (28 de abril de 2011). «PlayStation hack: Sony users urged to change passwords». Londres: Telegraph. Consultado el 29 de abril de 2011. 
  59. «PlayStation Network Security Update – PlayStation Blog». Blog.us.playstation.com. 2 de mayo de 2011. Consultado el 7 de mayo de 2011. 
  60. Leyden, John (24 de enero de 2013). «Crap security lands Sony £250k fine for PlayStation Network hack». The Register (en inglés). Consultado el 18 de marzo de 2023. 
  61. Pearson, Dan (21 de marzo de 2011). «24.6 million SOE accounts potentially compromised». News (gamesindustry.biz). Consultado el 4 de mayo de 2011. 
  62. Brightman, James (3 de mayo de 2011). «Sony Breach 'Difficult to Excuse' Say Security Experts». IndustryGamers. Archivado desde el original el 5 de mayo de 2011. Consultado el 5 de mayo de 2011. 
  63. Chung, Emily (3 de mayo de 2011). «Sony data breach update reveals 'bad practices'». CBC News. Consultado el 5 de mayo de 2011. 
  64. Westervelt, Robert (3 de mayo de 2011). «Sony attack: Sony expands scope of its massive data security breach». SearchSecurity.com. Consultado el 5 de mayo de 2011. 
  65. Schwartz, Matthew J. (3 de mayo de 2011). «Sony Reports 24.5 Million More Accounts Hacked». InformationWeek. Consultado el 5 de mayo de 2011. 
  66. Sony Computer Entertainment America (28 de abril de 2011). «Q&A #2 for Playstation Network and Qriocity». playstation.com. Consultado el 29 de abril de 2011. 
  67. Jackson, Leah (27 de abril de 2011). «Hulu Offering Free Credit For PS3 Subscribers». TheFeed (G4tv.com). Archivado desde el original el 17 de octubre de 2012. Consultado el 20 de octubre de 2011. 
  68. a b c d «PlayStationNetwork・Qriocity(キュリオシティ)の一部サービス  日本およびアジアの国・地域でも再開» (en japonés). SCEJ. 27 de mayo de 2011. Consultado el 20 de octubre de 2011. 
  69. a b c d «Details for PlayStation Network and Qriocity Customer Appreciation Program in North America». PlayStation Blog. 16 de mayo de 2011. Consultado el 17 de mayo de 2011. 
  70. a b c d e f g h «Details Of The Welcome Back Programme For SCEE Users». PlayStation Blog. 16 de mayo de 2011. Consultado el 17 de mayo de 2011. 
  71. a b c d «Welcome Back Package for Hong Kong, Singapore, Malaysia, Thailand and Indonesia». PlayStation.com. 27 de mayo de 2011. Consultado el 28 de mayo de 2011. 
  72. Richmond, Shane (26 de abril de 2011). «Millions of internet users hit by massive Sony PlayStation data theft». Londres: Telegraph. Archivado desde el original el 28 de abril de 2011. Consultado el 29 de abril de 2011. 
  73. Wesley Yin-Poole (27 de abril de 2011). «ICO confirms it will quiz Sony over PSN News - PlayStation 3 - Page 1». Eurogamer.net. Consultado el 29 de abril de 2011. 
  74. Halliday, Josh (24 de enero de 2013). «Data watchdog fines Sony £250,000 over PlayStation ID hack». The Guardian (Londres). Consultado el 19 de marzo de 2023. 
  75. «Privacy Commissioner's office looking into Sony PlayStation hack». Canada.com. 27 de abril de 2011. Archivado desde el original el 5 de mayo de 2011. Consultado el 19 de marzo de 2023. 
  76. «Blumenthal Demands Answers from Sony over Playstation Data Breach». Richard Blumenthal-senador estadounidense por Connecticut. 26 de abril de 2011. Archivado desde el original el 5 de mayo de 2011. Consultado el 26 de abril de 2011. 
  77. «Blumenthal Calls for DOJ Investigation of Sony Playstation Data Breach». Richard Blumenthal-senador estadounidense por Connecticut. 28 de abril de 2011. Consultado el 29 de abril de 2011. 
  78. «US lawmakers press Sony for info on data breach». Associated Press. 29 de abril de 2011. Archivado desde el original el 30 de septiembre de 2011. Consultado el 30 de abril de 2011. 
  79. Tassi, Paul (4 de mayo de 2011). «Sony Won't Testify at Congressional Hearing Over Security Breach». Forbes (en inglés). Consultado el 20 de marzo de 2023. 
  80. Ogg, Erica (24 de marzo de 2011). «Sony sued for PlayStation Network data breach | Circuit Breaker - CNET News». News.cnet.com. Consultado el 29 de abril de 2011. 
  81. «Johns v. Sony Computer Entertainment America LLC et al». Justia. 3 de mayo de 2011. Consultado el 3 de mayo de 2011. 
  82. Schwartz, Mathew J. (27 de abril de 2011). «Sony Sued Over PlayStation Network Hack». InformationWeek. Archivado desde el original el 29 de abril de 2011. Consultado el 29 de abril de 2011. 
  83. Rose, Mike (4 de mayo de 2011). «Canadian Law Firm Files $1 Billion Lawsuit Against Sony Over PSN Data Breach». Gamastura. Consultado el 4 de mayo de 2011. 
  84. «Sony PlayStation Network Down: PSN Hit with $1.04B Class Action Suit». Gather. 4 de mayo de 2011. Archivado desde el original el 7 de mayo de 2011. Consultado el 4 de mayo de 2011. 
  85. «Sony PSN hacking lawsuit dismissed by judge». 
  86. a b Keir, Thomas (30 de abril de 2011). «PlayStation users reporting credit card fraud». Consultado el 30 de abril de 2011. 
  87. Lloyd, Peter (27 de abril de 2011). «Hackers run up debt for PlayStation user». ABC News. Consultado el 30 de abril de 2011. 
  88. Arthur, Charles (29 de abril de 2011). «Hackers claim to have 2.2 million card details». Londres: The Guardian. Consultado el 30 de abril de 2011. 
  89. Kuchera, Ben (27 de abril de 2011). «Ars readers report credit card fraud». Consultado el 30 de abril de 2011. 
  90. «Sony asks gamers to sign new terms or face PSN ban». BBC News. 16 de septiembre de 2011. Consultado el 20 de marzo de 2023. 
  91. Peckham, Matt (19 de septiembre de 2011). «Sony's 'No-Sue' PlayStation Network Use Clause is Anti-Consumer». Consultado el 20 de marzo de 2023. 
  92. «Términos de Servicio y Acuerdo de Usuario de PlayStation Network». Sony Interactive Entertainment LLC. 2022. Consultado el 20 de marzo de 2023. 
Obtenido de «https://es.wikipedia.org/w/index.php?title=Interrupción_de_PlayStation_Network_de_2011&oldid=158818369»