Nombre: Marco Antonio Espinoza González

Datos de la materia: Delitos informáticos

Profesor: Oscar Lira Arteaga

Nombre del trabajo: Vectores de ataque

Fecha: 11/29/2021
Ataque a Sony Playstation Network

En esta brecha de datos resultaron comprometidos los nombres, correos electrónicos,

datos de acceso y otros datos personales de unos 77 millones de personas con cuenta en
PlayStation Network (el servicio de PlayStation que permite la compra de juegos online),
y este servicio dejó de funcionar durante una semana. En ese momento, la empresa
japonesa no descartó la posibilidad de que los datos bancarios de los usuarios hubieran
sido robados.

En 2011 estábamos lejos de tener la consciencia de ahora en torno a los riesgos de ser
víctimas de un cibercrimen relacionado con nuestras cuentas de juego online en consolas
de videojuegos.

Mientras ahora es casi un mandato habilitar la autenticación en dos pasos en razón de la

proliferación de vulneraciones de seguridad de las que constantemente nos enteramos,
en aquel año veíamos lejano que nuestras cuentas de PlayStation Network fueran objeto
de ataques.

Sin embargo, el 20 de abril de 2011 el panorama gamer vinculado con ciberseguridad

cambió por completo cuando PlayStation Network (PSN) y Qriocity, ambas plataformas
de Sony, fueron objeto de un ataque que permitió el robo de la información personal de
más de 77 millones de usuarios registrados.

Si un ataque de esa magnitud ocurriera ahora, la hoguera de inmediato caería sobre Sony
e incluso se pondrían en marcha acciones legales individuales o colectivas, pero en ese
momento la misma compañía no tenía dimensión de la afectación o bien la minimizó
para no desatar el pánico. El 21 de abril de 2011, es decir, un día después del ataque, el
único pronunciamiento de PlayStation fue a través de su blog oficial y se limitó a
informar que PSN tardaría uno o dos días en restablecerse.

Lo único cierto es que la PSN estuvo abajo durante 24 días y se restableció gradualmente
en distintas regiones a lo largo de los meses subsecuentes.

Cinco días después del ataque, Sony Computer Entertainment of America advirtió a los
usuarios de PSN y Qriocity de las implicaciones del ataque, haciéndoles saber que
información como nombre completo, domicilio, correo electrónico, fecha de nacimiento,
usuarios y contraseñas de ambas plataformas, así como las respuestas de seguridad
ligadas a éstas, pudo haber sido robada.
La compañía también informó que, aunque no había pruebas, cabía la posibilidad de que
números de tarjetas y fechas de expiración también pudieron haber sido sustraídos.

“Por tu seguridad, te sugerimos que estés especialmente atento a posibles estafas vía
correo, teléfono y servicio postal en las que te pidan tu número de tarjeta de crédito,
número de seguridad social y demás información personal de identificación […] Te
invitamos a estar atento y a revisar tus estados de cuenta y a monitorear tus reportes de
crédito”, señaló Sony en el comunicado. Conforme la PSN permanecía abajo y salían los
comunicados al respecto, quedó claro que el ataque fue grave y que no había
antecedentes de esa magnitud en la industria.

La Cámara de Representantes de Estados Unidos llamó a comparecer a Sony y la

compañía dijo que tenía elementos para sospechar que quien estuvo detrás del ataque
era el colectivo de hackers Anonymous.

En 2011 no teníamos la consciencia de ahora en torno a ciberseguridad y plataformas

online de consolas de videojuegos, y los usuarios de PSN estimamos adecuada, dentro de
nuestra ignorancia de dimensión de lo ocurrido, la medida que Sony puso en marcha por
“los inconvenientes” que provocó la baja de la plataforma: juegos gratis y días gratis de
PlayStation Plus y Music Unlimited (Qriocity).

De los juegos gratis, “tuvimos para escoger” dos de PlayStation 3 de una lista de cinco, y
dos de PSP de una lista de cuatro, una medida que de acuerdo con GamesIndustry.biz no
le costó nada a Sony. Lo único que la compañía pagó fueron poco menos de tres millones
de dólares a los abogados que se hicieron cargo de las demandas que presentaron algunos
más informados.

Este es un momento muy distinto a 2011. Hemos sido testigos de otros ataques más
graves a diversas plataformas, pero si algo nos ha de dejar el incidente a la PSN a 10 años
de distancia es que ningún servicio está exento de un cibercrimen y que debemos reforzar
las medidas de seguridad que nos corresponden, como la autenticación en dos pasos.

En aquel entonces sonreímos ante los juegos regalados como si nada hubiera pasado,
cuando en realidad fuimos víctimas del que en ese momento fue el robo de data más
grande en la industria del gaming.
Testimonio

Ya han pasado casi 7 años desde tal acontecimiento y, al parecer, sigue cobrando
víctimas. Yo entre ellas. Me compré el PlayStation 3 en verano de 2008. Llevo cas diez
años siendo miembro de la PlayStation Network, pero fue hasta verano de 2016 cuando,
por primera vez, decidí pagar la membresía de PlayStation Plus ($60 USD al año).

A principios de 2017 me robaron mi cuenta de PSN. De una manera artesanal, el o los

ladrones lograron que el humano de soporte técnico les permitiera cambiar la dirección
de correo de mi cuenta, haciéndose pasar por mí, acreditando su identidad con mis datos
personales.
Después del hackeo de Sony de 2011, no se ha reportado hasta la fecha ningún tipo de
fraude con tarjetas de crédito, sin embargo, se cree que lo que hicieron los hackers fue
vender las bases de datos en el mercado negro, mismas que están circulando entre los
estafadores. Al parecer, aunque se tienen los datos bancarios de algunas de las cuentas
robadas, cometer un fraude es complicado. Sin embargo, el negocio que les sale bien es
robar y revender las cuentas de PSN que ya tienen juegos digitales comprados. Una vez
que el ladrón toma control de la cuenta robada, tiene un lapso de tiempo corto para poder
revenderla por 10 o 15 dólares en algún sitio de internet, antes de que sea reportada.
Obviamente, una vez que logra la venta, se embolsa 10 dólares y el comprador no sabe
que en cualquier momento la cuenta que adquirió podría ser bloqueada, debido al
reporte de robo.

Cuando me robaron la cuenta, con mi tarjeta de crédito el ladrón compró dinero virtual
para un videojeugo. Su plan era comprar un arma cara, digital, y pasársela a otra cuenta
y así poder venderla con poco riesgo de ser atrapado. Al fina, recuperé la cuenta. Tres
meses después, Sony introdujo la verificación de dos pasos, que consiste en que, al tratar
de hacer un cambio en la cuenta, se solicita la confirmación del cambio ya sea por mail o
por teléfono. De esta manera, el ladrón no puede hacer ningún cambio. Eso no siginfica
que no lo intenten. Después de que activé la verificación de dos pasos, me llegaron como
tres e-mails en un lapso de un año, notificándome que si autorizaba el cambio de
password que yo nunca pedí.
Después de lo que me pasó, y de que Sony, aparentemente reforzó su sistema de
seguridad, creí que ya era tiempo de reasociar mi tarjeta de crédito a mi cuenta de PSN.
Y pensé que nunca me volvería a pasar, pero los ladrones siempre van un paso adelante.

El 5 de febrero me desperté, revisé mi correo electrónico y, ahí estaban, dos

notificaciones de Sony que me hicieron emitir el tradicional "oh-oh". La primera, era para
avisarme de que la creación de una cuenta adicional desde mi cuenta había sido exitosa.
La segunda era para avisarme de que la cuenta adicional había comprado el videojuego
Dragon Ball FighterZ con mi tarjeta de crédito. Cuando me metí a mi cuenta de PSN
desde la consola, realmente esperaba que no se me permitiera el acceso, asumiendo que
el ladrón había cambiado mi nombre de usuario o mi contraseña. Pero no, no fue así. La
cuenta estaba intacta en términos de seguridad, sin embargo, sí estaba una cuenta
adicional. Dragon Ball FighterZ no estaba en mi catálogo de juegos, así que lo primero
que hice fue dar de baja mi tarjeta de crédito, por si las dudas. Después, empecé el
procedimiento que todos deberían hacer en caso de que les pase lo mismo.

¿QUÉ HACER CUANDO TE ROBAN LA CUENTA DE PSN?

Lo primero que hay que hacer es contactar al soporte técnico de PlayStation. Si eres de
México o de algún país de América Latina donde Sony tenga presencia oficial entra a esta
página. Ahí hay un directorio telefónico donde te atenderán dentro de un horario de
oficina en días hábiles. En el caso de la Ciudad de México, el teléfono es 5002-9819, y
para el interior de la República Mexicana es 01800-759-7669. Ahí explica tu problema y
te atenderán con amabilidad. En caso de que su cuenta de PSN haya sido robada (es decir,
que el ladrón haya cambiado el user name o el mail asociado a tu cuenta), les recomiendo
que tengan a la mano el número de serie de la consola PlayStation donde dieron de alta
por primera vez su cuenta de PlayStation Network –en mi caso fue el PlayStation 3 que
por fortuna, nunca vendí–; eso les ayudará a demostrar que la cuenta que están
reclamando realmente es suya.

No recomiendo llamar a su banco o a PayPal para rechazar el cargo en caso de que los
ladrones hayan realizado una transacción con su tarjeta o cuenta. Llamen primero a
PlayStation. Esto es porque, normalmente, PlayStation resuelve el problema y reembolsa
el dinero de la transacción no autorizada, sin embargo, no lo reembolsa en la cuenta
bancaria o de PayPal, sino en el monedero de PSN. Si ustedes se adelantan y rechazan el
cargo con su banco o con PayPal, y luego contactan al sporte técnico de PlayStation, ellos
de todos modos les reembolsarán el dinero, por lo que, técnicamente, habrá una
diferencia a su favor, misma que tendrán que devolverle a PlayStation. Y no van a poder
usar su cuenta hasta que le hayan devuelto la cantidad, comprando una tarjeta de
prepago y llamando por teléfono para darles el número del prepago. Es un circo y es
tardado recuperar la cuenta si llaman a su banco o a Paypal, así que les recomiendo que
sólo contacten a PlayStaiton. En caso de qUe PlayStation no les garantice la devolución
o reembolso, en ese caso sí llamen al banco o a PayPal.
Otra forma de recibir ayuda es entrando al chat en vivo de PlayStation. Ése está aquí. Es
el sitio en inglés, así que tendrán que escribir en inglés para explicar su situación. Si
reportan su caso en el chat en vivo, generará un número de caso con el que después
podrán darle seguimiento por los teléfonos de su país o región. Recomiendo el chat
porque tiene horarios más amplios de atención.

Desde que uso Internet, he abierto muchas cuentas de todo y usado muchos servicios, y
sólo con PlayStation he tenido este tipo de problemas. La situación actual es que estoy
esperando a que me reembolsen 60 dólares –ya han pasado los cinco días hábiles que me
dijeron que se tardarían, pero sé que sí habrá reembolso–. Y sé que esto le puede pasar a
más personas en diversos servicios; hablando específicamente de videojuegos, también
podría pasarles con sus cuentas de Nintendo o Xbox Live. Es probable que este tipo de
robos no se pueda evitar, pero al menos pueden evitar que les roben dinero; recomiendo
que no asocien ningún tipo de tarjeta de crédito o Paypal en sus cuentas. Si quieren
comprar juegos o lo que sea, compren tarjetas prepagadas. Es más seguro.

La respuesta de Sony

¿Qué pasó entre el 24 y el 26 de abril? Por qué siendo ya consciente de la gravedad de la

intrusión, no alertó Sony a sus usuarios. Por qué esperó hasta el 26 de abril para
reconocer el embrollo en que se encontraba. Son preguntas que todos nos hacemos y que
ya hartamente se han reprochado a la compañía, que en los últimos días ha optado por
una actitud completamente transparente. Tendremos que aferrarnos al más vale tarde
que nunca...

La primera acción de Sony, una vez investigado el ataque, fue comenzar un proceso de
reestructuración forzosa en PSN que ha modificado por completo la infraestructura de la
plataforma, que podría regresar con nuevas funcionalidades tales como chat de voz y
vídeo ingame.

En segundo lugar, ha procedido al traslado de su centro de datos (que ya hemos ubicado

en San Diego) por una localización altamente secreta provista de las más avanzadas
medidas de seguridad física y de sistemas. Una vez vuelva PSN, todos los usuarios se
verán obligados a instalar una actualización de software que les obligará a cambiar la
contraseña de sus cuentas. Consciente además de que pidiendo perdón no va a ningún
sitio, la compañía estudia costear los gastos que pueda suponer a los usuarios la
cancelación de sus tarjetas de crédito, algo que bien podría perecer como mera
posibilidad dado el enorme desembolso que supondría. También se ofrecerá lo que se ha
venido a llamar "Welcome Back" o pack de bienvenida, en el que además de ciertos
contenidos gratuitos, cada usuario recibirá un mes de suscripción a Playstation Plus,
sección exclusiva de Playstation Store desde la que adquirir contenidos con importantes
descuentos o bien acceder a éstos con antelación.

Esta última medida ha sido acogida con cierto rechazo por parte de la comunidad, que
entiende la compensación casi como una burla. Playstation Plus nunca ha sido
especialmente valorado y el que puedan fomentarse las suscripciones premium a costa
de semejante ataque se antoja casi una falta de respeto.

Por último y como parte de las medidas orientadas a que algo así no vuelva a pasar, Sony
ha prometido colaborar con todas las plataformas online en pos de preservar la
privacidad y seguridad, tal vez promoviendo alguna organización que se encargue de
velar por las mismas. Todos en la compañía esperan ahora que la investigación en curso
dé con el culpable y termine con los claroscuros restantes.

Recomendaciones de seguridad

La compañía recomienda estar "especialmente pendiente" de posibles llamadas o correos

electrónicos fraudulentos que solicitan información personal o sensible. "Sony no se
comunicará con usted de ninguna manera, incluido el e-mail, preguntándole por su
número de tarjeta de crédito, número de la seguridad social u otra información que le
identifique personalmente", remarca, de manera que los usuarios pueden estar
completamente seguros que si son preguntados por ese tipo de información se trata de
un fraude.

Asimismo, recomienda cambiar las contraseñas de acceso a los servicios PlayStation

Network y Qriocity cuando vuelvan a funcionar, así como las de cualquier servicio no
asociado (cuentas de correo, de banco, etc.) que tengan la misma contraseña.

Según la compañía de seguridad Trend Micro, otros datos "posiblemente obtenidos" son
la dirección de facturación, el historial de compras, las respuestas a la pregunta de
seguridad de Qriocity. Los niños con cuentas establecidas por sus padres también pueden
haber sido víctimas de este delito informático, tal y como ha explicado la compañía en su
comunicado publicado en su blog en EEUU.

La intrusión podría convertirse en uno de los mayores delitos informáticos (el récord lo
tiene el ataque contra Heartland Payment Systems en 2009, en el que datos de más de
100 millones de cuentas fueron robadas) de confirmarse que al acceso a números de las
tarjetas de crédito de usuarios, aunque la compañía asegura que no existe ninguna
prueba o evidencia de que esto haya sido así. No obstante, prefiere curarse en salud.

"Para protegerse contra el posible robo de identidad o pérdida financiera, le invitamos a

permanecer atentos a revisar sus estados de cuenta y vigilar su tarjeta de crédito", ha
añadido la compañía

Sony dijo que había contratado a una empresa de seguridad externa para investigar lo
sucedido -aunque ha declinado especificar cuál- y ha tomado medidas para reconstruir
su sistema y proporcionar una mayor protección de la información personal. Fuentes de
la compañía han afirmado que no se restablecerá el servicio "hasta que no se garantice la
seguridad" en el acceso a su red.

Sony no ha aclarado aún si habrá algún tipo de compensación para los millones de
usuarios que no pueden acceder a PSN y Qriocity.

El servicio 'online' de Sony fue atacado el pasado 5 de abril y Anonymous confirmó la

autoría en defensa del hacker GeoHot. Dos días más tarde terminó el dicho ataque, que
afectó al funcionamiento de la red asociada a la consola, porque el grupo afirmó que no
quería perjudicar más al jugador.

En este caso Anonymous niega ser responsable de la intrusión.

Biografía

• Barco, U.-U. (2021, 20 abril). El ataque masivo a PlayStation Network que jamás
debemos olvidar. unocero.
https://www.unocero.com/videojuegos/gaming/ataque-playstation-network-
2011/
• Los ciberataques más costosos en la industria del eCommerce. (2015). psn.
https://www.infosecuritymexico.com/es/blog/los-ciberataques-mas-costosos-
en-la-industria-del-eCommerce.html
 • D. (2020, 1 junio). El robo de cuentas de la PlayStation Network es real. Red Bull.
https://www.redbull.com/mx-es/robo-de-cuentas-de-la-playstation-network
• Expansión. (2016, 20 mayo). PlayStation Network sufre hackeo: Sony.
https://expansion.mx/tecnologia/2011/04/26/playstation-network-sufre-
hackeo-masivo
• Huertos, A. A. (2021, 20 abril). 10 años del hackeo de PSN: la historia de una de
las mayores brechas de seguridad de la historia. ComputerHoy.
https://computerhoy.com/reportajes/10-anos-hackeo-psn-nos-tuvo-casi-mes-poder-
jugar-online-850979

Observaciones sobre el trabajo

Estimado profesor.

Durante este periodo he tratado de comunicarme con mis compañeros para realizar este
trabajo les he mandado mensaje tanto en el correo institucional como en el personal ( a
quien me lo proporcionó) les mande mis datos en mas de una ocasión y al parecer estaba
en dos equipos. Creo el fin de hacer una maestría en línea es por que necesitamos
acoplarnos a tiempos distintos ya que todos tenemos actividades diferentes y creo esta
vez no fue una buena práctica. El trabajo que le presento fue la información que les
mande a mis compañeros como las imágenes que les adjunto y reitero que no fue por
opción mía el realizarlo de manera individual. Saludos