La seguridad de una cuenta digital suele depender de la fortaleza de la contraseña, pero en el caso de PlayStation Network el eslabón más débil resulta ser el servicio de atención al cliente. Un fallo en los protocolos de verificación permite a los atacantes secuestrar periles sin necesidad de descifrar claves complejas.
El 18 de mayo, Colin Moriarty, padrino de los podcasts de PlayStation, confirmó que su propia cuenta había sido comprometida. El periodista explicó que la intrusión formaba parte de una campaña coordinada contra usuarios aleatorios y figuras destacadas de la comunidad.
"Mi cuenta de PSN fue hackeada, aparentemente como parte de una serie sofisticada y en curso de movimientos contra usuarios tanto aleatorios como "prominentes". En efecto, hace unos días alguien me advirtió que iba a ser objetivo, y tenía razón. (Él también fue hackeado.)" - Colin Moriarty, padrino de los podcasts de PlayStation
Moriarty recibió un aviso previo donde le advertían que poseían su información e intentarían robarle la cuenta ese mismo día. La predicción se cumplió horas después, lo que demuestra que los delincuentes operan con datos precisos y timing calculado.
El soporte técnico actúa como puerta trasera
Los agresores no utilizan fuerza bruta ni software malicioso tradicional. Su método se basa en la ingeniería social aplicada a los canales oficiales de Sony. El procedimiento requiere únicamente dos elementos: la ID de usuario y un dato financiero histórico.
Basta con proporcionar el número completo de un pedido antiguo o los últimos dígitos de una tarjeta de crédito utilizada en el pasado. Con esa información, los estafadores contactan al servicio de soporte oficial y se hacen pasar por los legítimos propietarios.
El agente de atención al cliente, al validar esos datos como prueba de autenticación, procede a cambiar el correo electrónico asociado a la cuenta. Inmediatamente después, desactiva la verificación en dos pasos, dejando al usuario original fuera de su propio perfil.
Esta brecha en el servicio de soporte de Sony facilita el acceso no autorizado de forma sistemática. A pesar de la magnitud del problema, la compañía no ha emitido hasta el momento una solución oficial ni ha modificado sus protocolos de verificación telefónica o por chat.
La advertencia previa no detiene el ataque
La experiencia de Moriarty ilustra la sofisticación del esquema. Los atacantes no solo buscan el acceso, sino que avisan a sus víctimas antes de ejecutar el golpe, posiblemente para saturar los canales de denuncia o demostrar impunidad.
El hecho de que el propio avisador también resultara hackeado sugiere una red amplia de colaboradores o un grupo organizado que comparte bases de datos filtradas. La vulnerabilidad no reside en la tecnología de Sony, sino en la confianza depositada en datos estáticos que nunca cambian.
Un número de tarjeta caducado o un pedido de hace años siguen siendo válidos para suplantar la identidad ante el soporte técnico. Mientras Sony no exija métodos de autenticación dinámicos o biométricos para cambios sensibles, las cuentas seguirán expuestas.