Sony es una de las empresas que más ha dado que hablar en materia de seguridad en los últimos años. La serie de incedentes que ha sufrido con diferentes matices ha generado un gran revuelo al respecto de cómo es manejada la información sensible de los usuarios por parte de empresas tan grandes.
Si bien ya se ha escrito mucho sobre estos casos y conocemos los detalles de lo que pasó, después de tanto revuelo es bueno mirar hacia atrás, analizar toda la información en conjunto y ver qué conclusiones y lecciones aprendidas nos deja todo lo ocurrido.
Recuento de los hechos de seguridad que involucran a SONY
Los ataques asociados con Sony son parte de una historia que se remonta a más de tres años atrás. En abril de 2011 alertábamos sobre una intrusión a la plataforma de PlayStation Network en donde se vieron afectados 77 millones de usuarios de este servicio. En este caso que sin duda es uno de los mayores robos de información de la historia, y llegó a afectar más de 1.5 millones de usuarios en Latinoamérica que vieron comprometida la información de sus tarjetas de crédito.
En este caso no se pudo esclarecer quiénes estuvieron detrás del ataque, aunque sí hubo reportes de usuarios que registraron el uso indebido de su información.
Un par de meses después, Sony volvió a estar en el ojo de la polémica cuando el grupo Lulzsec se atribuyó un ataque de inyección SQL que tuvo como objetivo la página de la productora de televisión y cine, Sony Pictures, y tuvo como resultado la filtración de la base de datos completa de más de 1.000.000 de usuarios.
Antes de finalizar el fatídico 2011, se anunció una vulnerabilidad en el firmware 3.73 de la PS3 que permitiría a los usuarios utilizar en la consola aplicaciones de terceros o que no estuvieran debidamente firmadas. Si bien no fue un caso de ataque como los que habían ocurrido meses atrás, volvía a poner a Sony en medio de incidentes de seguridad.
El 2012 no empezó muy bien para la multinacional japonesa. Durante los primeros meses del año, Sony Music Entertainment fue atacada por Anonymous, quienes lograron obtener material musical de varios artistas de la firma -el cual fue puesto a disposición de los usuarios de Internet, al igual que algunas películas realizadas entre 2000 y 2011.
A esta serie de incidentes se sumó en 2013 un nuevo reporte de vulnerabilidades en el firmware de la PS3, que por suerte para los usuarios fueron corregidas rápidamente evitando que su seguridad fuera expuesta.
Después de tres años tormentosos en materia de incidentes de seguridad asociados con la marca Sony, llegamos a los últimos eventos ocurridos durante 2014: uno de ellos relacionado con la intrusión a Sony Pictures y fuga de datos confidenciales, además del reporte de que los servidores de PlayStation fueron usados para distribuir la información robada.
¿Podría tu empresa ser vícitma como Sony?
Tal vez una de las cuestiones por las cuales estos últimos incidentes tomaron tanta relevancia en materia de seguridad, es por el hecho de que no es algo nuevo, sino que pareciera ser algo reiterativo. Si bien han sido diferentes tipos de incidentes de los que hemos sido testigos en los últimos años en relación a Sony, y si bien los que mencionamos no son los únicos, todos tienen el mismo factor común: Sony. Pero tienen diferentes motivaciones.
Dado que es poca la información que se publica relacionada con lo que ocurrió realmente, es complicado determinar cuáles fueron las vulnerabilidades que utilizaron los atacantes. Pero para las empresas, valdría la pena preguntarse de qué forma están protegidas para enfrentar una situación que pudiera llegar a ser similar.
Es cierto que la gran mayoría de las empresas no tienen el tamaño de Sony y por lo tanto no manejan información tan atractiva. Pero eso no quiere decir que no puedan ser blanco de este tipo de ataques. Y si bien Sony ha podido sobrevivir a estos incidentes (no sin ver su imagen dañada), es un buen ejercicio preguntarse qué le pasaría a la empresa donde trabajas si sufriera un incidente con una magnitud de al menos una porción de lo que le ocurrió a Sony.
Por ejemplo, la fuga de información confidencial de clientes es un incedente que además de tener repercursiones en la reputación de la empresa, en muchos países es castigada por la ley civil. Y si la afectada es una mediana o pequeña empresa, seguramente no va a contar con los recursos para poder hacer frente y recuperarse de este tipo de incidentes
Panorama de seguridad para el resto de empresas
Debido al hecho de que la superficie de ataque es cada vez mayor por la incorporación de más dispositivos en las tareas diarias, debe resultar relevante para quienes trabajamos en seguridad adoptar una verdadera actitud de gestión de la seguridad de la información.
Ya que impedir que ocurran los ataques no es posible, debemos estar protegidos si por algún motivo nos vemos enfrentados a uno de ellos. Desde adoptar posturas de gestión tipo Cyber Kill Chain en la que seguridad sean una parte activa del negocio hasta contar con planes de respuesta a incidentes son las acciones mínimas que deberíamos considerar.
Como menciona Stephen Cobb en We Live Security, hay una serie de lecciones que deberían quedar para cualquier empresa después de un incidente como este, como la importancia de controlar permisos de usuarios o cuidar el intercambio de información sensible vía correo electrónico. Cabe resaltar el hecho de contar con un plan de respuesta a incidentes, lo cual debe servir de guía para que la empresa tenga definidas las actividades en caso de que se materialicen los riesgos de seguridad.
No podemos seguir confiados en que nuestra empresa no será blanco de estos incidentes de seguridad, solo porque consideremos que no va a ser atractiva para un ciberdelincuente. Está en nuestras manos hacer una adecuada gestión de la seguridad para evitar ser parte de una pesadilla como la que ha sufrido Sony.