El Hackeo a PlayStation en 2011 | ¿Negligencia de Sony?
En 2011, un hackeo masivo dejó fuera de servicio a los servidores de PSN durante semanas, y expuso la información de millones de jugadores. Vamos a explicar dicho ataque.
Capítulo 1: PlayStation Network
Viajemos en el tiempo y hagamos mención en primer lugar a Ken Kutaragi, también conocido como el Padre de PlayStation.
Fue el principal responsable de la creación de la consola PlayStation y su impacto en la industria de los videojuegos.
Su visión y liderazgo fueron clave para que Sony ingresara a la industria y revolucionara el mercado con dos de las consolas más icónicas: la PlayStation (PS1) y la PlayStation 2 (PS2).
Ambas marcaron un antes y un después en el mundo del entretenimiento digital, consolidando a Sony como una de las principales compañías en el sector de los videojuegos.
A finales de los años 80, Ken Kutaragi trabajaba en Sony en el desarrollo de hardware, pero su pasión por los videojuegos lo llevó a involucrarse en un proyecto que cambiaría la historia de la empresa.
En ese momento, Sony no tenía interés en el mundo de los videojuegos, pero Kutaragi vio una oportunidad en la creciente industria.
Su primer acercamiento fue con Nintendo, pero cuando un acuerdo para expandir las funciones de la consola NES se cayó, convenció a Sony de desarrollar su propia consola.
La Play 1 se lanzó en 1995 en todo el mundo y tuvo un éxito inmediato, así que Sony se puso rápidamente a trabajar en el proyecto de la Play 2 tras el triunfo de su antecesora.
Fue así que en el año 2000 lanzó la Play 2, una máquina que no sólo continuaría con el legado de su predecesora, sino que lo elevaría a otro nivel.
El éxito de la Play 2 estuvo marcado en parte por el enorme número de ventas, llegando a las 155 millones de unidades a nivel mundial, un récord absoluto.
No obstante, faltaba algo más para hacerla única en su especie.
Si alguna vez tuviste la Play 1 y la Play 2 muy seguramente sabes que no se puede jugar online con ellas, a excepción de algunos títulos y con algunas cuestiones a tener en cuenta.
Fue así que Kutaragi ideó un plan para poder conectar la Play 2 a un red en línea para la interacción entre los usuarios. Lo denominó Playstation Network, pero el plan nunca se materializó en ese entonces.
Kutaragi dejó de trabajar para Sony en 2007, el mismo año en que se lanzó PlayStation 3, la consola de la nueva generación.
La Play 3 fue la primera consola de la serie de Sony en hacer realidad el plan de Kutaragi, una red online bajo los lemas de comunidad, comunicación, comercio y contenido.
Fue así que oficialmente se daba a conocer Playstation Network, el servicio de entretenimiento multimedia digital impulsado por Sony.
Pero había otro inconveniente, resulta que en la vereda de enfrente estaban los hombres de Microsoft, que habían dado a luz a Xbox Live, la competencia directa con la propuesta de Sony.
Y la realidad es que, para el momento en que ambas consolas salieron al mercado, Xbox estaba muy por delante de Sony.
La red de PlayStation Network al comienzo era muy pobre, no podías descargar contenido, la tienda estaba totalmente alojada en la web, sus servidores eran inconsistentes y lentos y no podías agregar amigos.
Así que Sony tuvo que tomar medidas al respecto. Redujeron el costo de su consola, lanzaron exclusivos únicos para la Play 3 y rediseñaron la interfaz, agregando funciones tan solicitadas por los usuarios.
La reducción de precio ayudó a la PS3 a recuperarse en ventas y al final logró superar a la Xbox 360 en unidades vendidas.
Aunque no solo se consiguió esto por los nuevos beneficios que había agregado Sony para contentar al público tras el fracaso inicial.
Con los nuevos arreglos, Sony permitió que los usuarios instalaran otros sistemas operativos, como Linux, mediante una función llamada OtherOS.
Esta opción estaba en el menú de configuración y permitía a los usuarios acceder al hardware de la consola para propósitos académicos, científicos o de desarrollo.
Pero, aparte de sistemas operativos, también se podía instalar otras cuestiones.
Y no me refiero al ámbito legal, sino a la piratería.
Capítulo 2: “GeoHot” y Anonymous
Cuando Sony dio luz verde a la instalación de servicios externos, como sistemas operativos, muchas personas empezaron a probar con intentar instalar algunos programas piratas para poder obtener, por ejemplo, juegos de manera gratuita.
Fue entonces que apareció en escena un hombre llamado George Hotz, un hacker y programador estadounidense y que había sido muy famoso, entre otras cosas, por desbloquear un iPhone en 2007 para que funcionase con cualquier operador. Nada… simplemente ese detalle.
Este hombre, junto con un grupo de hackers llamado Fail 0verflow, estuvieron trabajando en 2009 en una manera de crackear el software de Playstation, lo que se conoce como JailBreak.
El objetivo era bastante claro, poder instalar software no autorizado en las consolas.
Evidentemente este procedimiento tiene varias finalidades, tanto lícitas como… no tan lícitas.
En el ámbito legal, uno puede hacer uso de estas herramientas justamente con la posibilidad que mencionamos anteriormente, la instalación de un sistema operativo como Linux, lo cual era bastante útil para optimizar los recursos del equipo.
Sin embargo, también se puede utilizar con fines malintencionados. Eso incluye la instalación y distribución de software malicioso, así como también la piratería, donde los usuarios pudiesen descargar juegos sin pagar un solo dólar.
A principios de 2011, concretamente el 3 de enero de 2011, George Hotz publicó estas herramientas en su sitio web, junto con una explicación técnica sobre cómo había obtenido estas claves que le permitían vulnerar el sistema de PlayStation.
Por su parte, el grupo Fail 0verflow presentó una investigación afirmando que Sony había cometido un error en la implementación del algoritmo criptográfico, utilizando uno bastante inseguro.
En sí, Fail 0verflow no publicó las claves, cosa que sí hizo George Hotz, sino que se limitó a demostrar la vulnerabilidad y a mostrar cómo podían usarse para firmar software.
Lo importante a tener en cuenta es que la popularidad de estas claves para poder desbloquear su PS3 crecieron enormemente, por lo que cualquier persona con conocimientos técnicos básicos iba a poder disfrutar de todas estas funcionalidades.
¿Y cuál creen que fue la respuesta de Sony? ¿Creen que felicitó a Hotz por sus logros?
El que se levantó con muchos ánimos fue Sony durante los primeros meses de 2011, porque la lista de castigos contra lo que hizo George Hotz y el grupo de hackers Fail 0verflow no tiene precedentes.
En primer lugar, el 11 de enero de 2011, es decir apenas una semana después de la publicación de las herramientas, Sony presentó una demanda en el Tribunal de Distrito de los Estados Unidos en San Francisco contra Hotz y varios miembros de Fail 0verflow.
Por otro lado, Sony pidió al tribunal una orden de restricción temporal para obligar a Hotz y Fail 0verflow a cesar la distribución de las claves y herramientas de desbloqueo, y a entregar cualquier material relacionado con el hackeo.
El tribunal otorgó esta orden, así que Hotz debió retirar sus claves y herramientas de su sitio web.
En tercer lugar, Sony solicitó al tribunal que se le permitiera obtener información personal de Hotz, incluyendo registros de su cuenta de PayPal, datos de tráfico de su sitio web y registros de sus interacciones en redes sociales como Twitter.
También pidieron acceso a los discos duros y dispositivos de Hotz para verificar el alcance de sus actividades.
Estas fueron algunas de las medidas legales que solicitó Sony, pero espera un poco porque todavía no terminamos.
Sony hizo un bloqueo ultra masivo para banear las consolas que ejecutaron estas herramientas a partir de un identificador único incrustado en el firmware de cada equipo. Quienes fueron identificados, perdieron acceso a las funciones en línea.
También se lanzó un nuevo sistema de verificación de firmas digitales para bloquear la ejecución de software firmado con las claves creadas por Hotz, en una maniobra para combatir la piratería.
Sin embargo, una de las medidas que más enfureció a la comunidad de PlayStation fue que se removió la posibilidad de instalar sistemas operativos de terceros en la Play 3, como era el caso de Linux.
Esto generó mucho malestar entre las personas que usaban Linux u otro sistema operativo dentro de su sistema, por lo que el rechazo hacia Sony en sí era bastante grande, y eso era algo que la empresa japonesa no podía permitirse.
Tengamos en cuenta que Sony trabajó muchísimos años en recuperar la confianza de los usuarios.
Como dijimos antes, el servicio de PlayStation Network en sus comienzos era un desastre, y las secuelas que dejó eso en la gente no eran las más positivas.
Imagínense ahora que habían dejado de lado a usuarios que inocentemente descargaban las herramientas de piratería con la finalidad de jugar de forma gratuita o utilizar un sistema operativo ajeno al estándar de PlayStation.
El enojo contra Sony era muy grande y ahí es cuando aparece en escena un grupo de personas que saben perfectamente lo que es medirse contra las grandes corporaciones.
Anonymous, la legión de hacktivismo lista para atacar contra Sony.
Capítulo 3: El ataque
Hablar de la historia de Anonymous no condice con el objetivo del video y eso da para un video totalmente aparte.
Pero si podemos hablar un poco sobre la finalidad con la que opera Anonymous a la hora de hacer ciberactivismo.
Para empezar, Anonymous no es ningún grupo fijo ni tampoco un grupo de cibercriminales. Anonymous es en realidad un seudónimo y cualquier persona que haga algo en favor de los objetivos de Anonymous puede ser considerado como tal.
Con esa mentalidad, Anonymous vio como Sony estaba atentando contra uno de los principios de la legión, la libertad de expresión y los derechos de los consumidores.
Anonymous aboga por el acceso libre y sin restricciones a la información, incluyendo el derecho a modificar y experimentar con dispositivos que los usuarios poseen.
Este principio está relacionado con la cultura del hacking ético, donde los usuarios buscan ampliar las capacidades de sus dispositivos más allá de las limitaciones impuestas por los fabricantes.
Desde la perspectiva de Anonymous, el ataque de Sony fue un atentado directo a la libertad de información, ya que Sony intentó suprimir el conocimiento técnico que Hotz y Fail 0verflow habían compartido con la comunidad.
Anonymous veía esto como un intento de controlar lo que los usuarios podían hacer con un dispositivo que habían comprado legalmente.
También, Anonymous defiende que los consumidores tienen derecho a usar los productos que compran de la manera que deseen, incluyendo la modificación de hardware y software.
Este principio está alineado con el concepto de “derecho a reparar” y la idea de que los usuarios son los propietarios legítimos de sus dispositivos, no solo “arrendatarios” sujetos a las restricciones del fabricante.
No podemos olvidar que Anonymous siempre se ha mostrado en contra del abuso corporativo, por lo que este combo era todo lo que necesitaba el grupo de hacktivismo para iniciar un verdadero ciberataque contra Sony como represalia de sus actos.
En Abril de 2011, Anonymous divulgó una serie de mensajes en favor de Geohot y en contra de los actos perpetrados por Sony, y un par de días después, se inició el ciberataque.
El 4 de Abril de 2011, PlayStation Network experimentó una serie de ataques de denegación de servicio distribuido, haciendo que sea prácticamente imposible conectarse a jugar en línea o incluso utilizar servicios como Netflix o Hulu.
Tres días después, Anonymous dio por terminado el ataque y pidió disculpas a aquellos usuarios afectados.
La cuestión es que, a pesar de que los ataques se habían desarrollado con bastante fuerza, el servicio de PlayStation Network no había sido deshabilitado. Pero lo que más llamó la atención fue el silencio de Sony ante estos incidentes.
El silencio se mantuvo durante un par de días, hasta que el 22 de Abril del 2011, Sony lanzó un perturbador mensaje que dejó sin palabras a todos los usuarios.
Una intrusión externa había afectado el sistema de PlayStation Network.
Sony tomó la decisión de cerrar el servicio hasta poder solucionar la situación para evitar que la intrusión continúe expandiéndose.
Lo que la gente no sabía es que no iba a ser cuestión de apenas un par de días. Nadie pudo anticipar lo que vino después.
Sony condujo una investigación para ver qué cosas estaban comprometidas, aunque detrás de escena la vergüenza abundaba en la compañía.
Se trató de mantener todo en silencio, pero hubo un momento donde simplemente no se pudo estirar más, la verdad salió a la luz.
77 millones de cuentas habían sido comprometidas debido a un ciberataque masivo.
Información personal, direcciones, números de tarjetas de créditos, números de teléfono, compras realizadas, fechas de nacimiento, correos electrónicos, contraseñas, todo había sido filtrado.
La noticia era mundial. Sony se había convertido en víctima de uno de los mayores ataques informáticos de la historia hasta ese entonces.
Las investigaciones revelaron que Sony se había demorado un día más de lo debido en cerrar los sistemas de PlayStation Network.
Mientras el ataque ocurrió el 19 de abril, Sony cerró el servicio de PSN el 20 de abril.
Pero además de ello, muchos investigadores mostraron que las vulnerabilidades que tenían los servicios de Sony eran bastante conocidas, por lo que un ataque era inminente que ocurriera.
Y no solo eso, el grupo Anonymous ya había advertido a Sony el 13 de abril que un ataque masivo estaba por venir. De todos modos, la legión negó estar vinculada con la intrusión que culminó en el robo de información.
Tuvo que pasar hasta 10 días para que Sony emitiera una respuesta oficial por parte de sus líderes.
Fue el 1 de mayo de 2011, cuando en Tokio se celebró una conferencia encabezada por Kaz Hirai, el CEO de Sony Computer Entertainment, ofreciendo sus disculpas por lo sucedido.
Pero además de ello, admitieron que la vulnerabilidad explotada era bastante conocida, por lo que tuvieron que idear un plan de seguridad para sanear la herida y evitar así una futura intrusión nuevamente.
En la conferencia aseguraron que toda la información vinculada con tarjetas de crédito estaba encriptada, y que no había evidencia de un robo o fraude a pesar de que 10 millones de cuentas habían sido expuestas.
Igualmente la cosa no iba a quedar ahí, Kaz Hirai envió una carta abierta a la casa de representantes de Estados Unidos, enfatizando en una comunicación clara y verificación del ataque, haciendo público lo que ocurrió mientras el servicio de PlayStation Network se encontraba deshabilitado.
Sony reportó el ataque el 19 de Abril por la tarde, observando que muchos sistemas estaban reiniciándose cuando no debían. Sin embargo, no fue hasta un día después que encontraron evidencia suficiente para confirmar la intrusión y apagar el servicio.
En ese tiempo, los atacantes consiguieron transferir gran parte de la información por fuera del servicio de PlayStation, y a pesar de que enviaron el reporte del incidente al FBI el 22 de abril y que contrataron a varias firmas de seguridad unos días después para lidiar con el ataque, el daño ya estaba hecho, y las cuentas estaban comprometidas.
Sony quiso vincular a Anonymous con el reciente ataque, pero como mencionamos antes ellos ya habían mencionado que no tenían nada que ver con esta nueva intrusión, más si confirmaron que fueron partícipes de los ataques de denegación de servicio. De ahí que este ataque inicial haya ayudado a que los ciberdelincuentes pudiesen entrar con más facilidad, es otra cosa.
Múltiples demandas llovieron contra Sony basadas en las leyes de protección de datos de los diferentes países afectados.
No obstante, el objetivo principal de la compañía era restablecer el servicio de PlayStation Network tan pronto como sea posible.
Capítulo 4: La restauración
Finalmente, tras 24 días, el 14 de mayo de 2011, el servicio de PlayStation Network volvió a su normalidad.
La restauración comenzó en fases, primero en Norteamérica y luego en el resto del mundo.
Además de ello, Sony brindó compensaciones a todos los usuarios de PlayStation. Esto incluyó 30 días gratuitos al servicio de PlayStation Plus, una semana gratis para el servicio de Hulu, dos juegos gratuitos para Play 3 y PSP y algunos otros paquetes dependiendo de la región del planeta.
Para muchos usuarios, esto fue insuficiente. Sea cual sea la opinión, Sony aún tenía que esclarecer las cosas para todo el mundo, puesto que mucha información sensible había sido puesto en riesgo.
El 23 de mayo de 2011, Sony informó que el costo estimado de la intrusión era de 171 millones de dólares, no solo por el ataque en sí, sino por lo que conlleva mantener las operaciones apagadas durante tanto tiempo, especialmente a los desarrolladores.
Con el tema principal resuelto, otras preguntas salieron a la luz. Muchos especularon sobre el atacante. Pese a que Anonymous se desligó de esta última intrusión, las acusaciones no cesaron.
Y en parte tienen su punto a favor, la razón de la existencia de Anonymous se basa principalmente en la protección de los usuarios. Un ataque que afecte directamente no tendría mucho sentido, sabiendo que va a ir en contra de sus propios pensamientos.
Debido a que no hubo evidencia para vincular a un grupo cibercriminal, no existieron arrestos.
Tampoco se mencionó las vulnerabilidades que los atacantes habrían explotado.
Más allá de esto, Sony mejoró significativamente la seguridad de sus servicios, incluyendo por ejemplo la verificación de dos pasos en las cuentas. Y aunque los ataques de denegación de servicio continúan siendo repetidos, como ocurrió en las navidades del 2014, la empresa no volvió a lamentar una intrusión que ponga en riesgo los datos de tantos usuarios.
O al menos en su sección de gaming.