Un grave fallo en los protocolos de verificación de PlayStation Network (PSN) ha permitido que hackers tomen el control de cuentas completas utilizando únicamente un número de factura y el nombre de usuario, sin necesidad de contraseñas ni de la autenticación en dos pasos.
La vulnerabilidad, revelada tras el caso del periodista francés Nicolas Lellouche y de la cual se han hecho eco medios como Insider Gaming, ha encendido las alarmas y ha puesto en entredicho la seguridad de Sony Interactive Entertainment. Ante eso, dos cuestiones: ¿qué está pasando y qué medidas hay que tomar?
Un ataque sorprendentemente simple: ingeniería social con un solo dato
El incidente salió a la luz cuando el periodista Nicolas Lellouche descubrió que había perdido el acceso a su cuenta de PSN a pesar de contar con:
- Contraseña robusta
- Autenticación en dos pasos (2FA)
- Clave de acceso vinculada a reconocimiento facial en su iPhone
Aun así, un atacante logró cambiar el correo electrónico asociado, modificar la contraseña y realizar compras no autorizadas, como un pago de 9,99 euros a través de PayPal.
¿Lo más alarmante? El hacker no utilizó malware ni técnicas avanzadas: solo necesitó un número de transacción visible en una factura antigua que el propio periodista había publicado en una captura de pantalla meses atrás. Ese único dato fue suficiente para engañar al soporte de Sony y hacerse pasar por el propietario legítimo de la cuenta.
En Vida Extra
"No paraba de cambiar": o tuvieron ayuda de la mismísima Fuerza, o no se entiende que Rogue One lo petase con semejante caos
El fallo crítico: un soporte técnico que valida identidades con información mínima
Según el propio atacante, que se identificó como Derol Bodden, el proceso fue tan sencillo como:
- Contactar al soporte de PlayStation.
- Proporcionar el nombre de usuario de PSN.
- Dar un número de factura o transacción como "prueba" de propiedad.
Sony, según los reportes, no solicitó información crítica adicional, como una fecha de nacimiento del titular, el nombre completo registrado, el clásico sistema de validación mediante códigos enviados al móvil o mediante confirmación desde el correo original, etc.
En consecuencia, a partir de ese momento el hacker toma control total de la cuenta sin necesidad de vulnerar ningún sistema técnico, simplemente explotando una debilidad humana en el servicio de atención al cliente. Pero es que ahí no acaba la cosa: tras recuperar su cuenta con ayuda del soporte oficial, Lellouche volvió a ser hackeado poco después, utilizando exactamente el mismo método.
Las conclusiones a las que llegamos son las que son: el fallo no es puntual, sino sistémico. Pero es que el atacante puede repetir el proceso indefinidamente mientras posea un número de factura o datos similares. Y lo más significativo: el 2FA (la autenticación en dos pasos) y las claves de acceso no sirven de nada si el soporte técnico otorga acceso sin verificaciones estrictas.
Qué hacer mientras Sony no soluciona el problema
Los usuarios de PSN se enfrentan a un riesgo real si han compartido capturas de pantalla con facturas, han mostrado números de transacción en redes sociales e incluso han publicado imágenes de su biblioteca de compras. De hecho, la cosa puede ser más delicada incluso si se ha enseñado la consola con el número de serie visible. ¿El motivo? Cualquier dato de facturación podría ser utilizado para suplantar su identidad ante el soporte de Sony.
¿Qué puede hacer el atacante? Desde cambiar el correo electrónico y la contraseña a realizar compras con métodos de pago vinculados. E incluso bloquear al usuario legítimo. Todo ello sin necesidad de vulnerar la seguridad técnica de PSN. Y aunque la vulnerabilidad depende del soporte técnico de Sony, los usuarios pueden tomar medidas preventivas:
- No publicar capturas de pantalla con facturas o transacciones. Incluso un número parcial puede ser suficiente.
- Revisar publicaciones antiguas. Eliminar imágenes donde aparezcan datos de compras de PSN.
- Desvincular métodos de pago automáticos. Especialmente PayPal o tarjetas guardadas.
- Activar notificaciones de compras. Para detectar movimientos sospechosos al instante.
- Contactar con Sony si se sospecha actividad inusual. Aunque el proceso actual es vulnerable, sigue siendo la única vía oficial.
Un fallo humano que exige una respuesta urgente de Sony
El caso de Nicolas Lellouche ha revelado un problema crítico: la seguridad de PlayStation Network no falla en lo técnico, sino en lo humano.
Los sistemas de autenticación funcionan, pero el soporte técnico puede anularlos por completo si acepta como válidos datos que pueden encontrarse públicamente.
En cualquier caso, toca explicar y tener claro que no existe ningún sistema invulnerable. Lo cual no quita que se espera que Sony actualice sus protocolos de verificación con medidas básicas y razonables, como exijir múltiples factores para recuperar cuentas e implementar controles más estrictos en su servicio de atención al cliente.
Hasta entonces, todos los usuarios deben extremar precauciones con cualquier dato relacionado con sus compras de PSN. Ya lo era antes y ahora lo es más.
En VidaExtra | Sony redefine radicalmente el uso de PlayStation Portal: Juega donde quieras, cuando quieras... y sin PS5
En VidaExtra | PlayStation ante la era multiplataforma. ¿Merece la pena quedarse rezagado?
-
La noticia PlayStation Network expuesta: cómo prevenir que un simple número de factura permita hackear tu cuenta fue publicada originalmente en Vida Extra por Frankie MB .
Continúar leyendo...