Un periodista francés, llamado Nicolás Lellouche del medio Numerama, se convirtió en el protagonista de un incidente que reveló una preocupante vulnerabilidad en el sistema de seguridad de PlayStation Network (PSN), la plataforma digital de Sony.
Pese a utilizar contraseñas robustas, doble autenticación y claves de acceso, Lellouche perdió el control de su cuenta en dos ocasiones, dejando al descubierto la fragilidad de los protocolos de verificación implementados por la empresa japonesa.
Cómo empezó el ataque a la cuenta de PlayStation
Todo comenzó cuando Nicolás Lellouche encendió su PS5 y descubrió que no podía acceder a su cuenta de PSN. Lo que en un principio parecía un error pasajero, rápidamente se transformó en una pesadilla digital. Un hacker había logrado tomar el control de su cuenta, cambiar el correo electrónico asociado e incluso realizar compras sin su consentimiento, como un pago de 9,99 euros a Sony Interactive a través de PayPal.
La sorpresa de Lellouche fue mayor al comprobar que, a pesar de tener activada la autenticación en dos pasos y contar con una clave de acceso vinculada a al reconocimiento facial de su iPhone, el atacante había accedido con facilidad.
El periodista, acostumbrado a proteger sus cuentas con medidas avanzadas de seguridad, se vio superado por una estrategia extremadamente sencilla, que expuso una seria deficiencia por parte del servicio de atención al cliente de Sony.
Investigando el suceso, Lellouche logró contactar con el responsable del ataque, quien se identificó con el alias “Derol Bodden”. En una conversación, el hacker explicó que había utilizado un dato que el propio periodista había publicado meses antes en un artículo: el número de transacción de una compra en PlayStation, visible en una vieja factura mostrada en una captura de pantalla. Esta información resultó clave para el ataque.
El procedimiento empleado por el atacante consistió en contactar al soporte de Sony y proporcionar el número de transacción como “prueba” de ser el propietario legítimo de la cuenta. Sorprendentemente, el personal de atención al cliente no solicitó ningún otro dato relevante, como la fecha de nacimiento, el nombre original de la cuenta o información adicional que pudiera autenticar la identidad del usuario.
La verificación se limitó a dos preguntas: el pseudónimo de PSN y un número de factura, sin importar la antigüedad de este último. Con estos datos, Sony permitió el cambio de correo y la toma total de control sobre la cuenta.
Pese a que Lellouche logró recuperar el acceso tras contactarse telefónicamente con el soporte, el alivio duró apenas unos minutos. El hacker repitió el proceso y, nuevamente, el periodista quedó fuera de su perfil.
La falla que demuestra la vulnerabilidad en PlayStation
El incidente no fue un hecho aislado, sino la confirmación de una falla estructural en los procesos de verificación de identidad en PlayStation Network. El propio hacker relató que podía repetir el procedimiento las veces que quisiera, utilizando datos fácilmente accesibles o filtrados, como números de transacción, los últimos dígitos de una tarjeta de crédito o el número de serie de una consola, incluso si estas pertenecen a modelos antiguos.
Sony, que incentiva la compra de juegos en formato digital y promueve la creación de perfiles personales, parece haber descuidado la protección de estos datos frente a ataques de ingeniería social. En comparación con otras compañías tecnológicas como Apple o Google, donde la recuperación de una cuenta requiere múltiples pasos y el cruce de datos personales.
El periodista intentó reiteradamente advertir al servicio de atención al cliente sobre la vulnerabilidad, pero encontró respuestas automáticas y la imposibilidad de escalar el caso a un responsable de mayor jerarquía. Solo tras insistir y encontrar un operador más atento, se le solicitó información adicional y se suspendió temporalmente la cuenta como medida de precaución.
Cómo los datos públicos se convierten en un arma en contra
La experiencia de Nicolás Lellouche evidencia cómo la exposición digital, incluso por motivos profesionales, puede convertirse en una puerta de entrada para los ciberdelincuentes.
Una simple captura de pantalla publicada en redes sociales o en un artículo puede contener información suficiente para llevar a cabo un ataque dirigido. Los hackers, según relató el protagonista, buscan activamente este tipo de datos en foros, redes sociales y buzones de correo vulnerados, ampliando así su campo de acción.
El caso generó repercusión en la comunidad de usuarios de PlayStation, donde varias personas compartieron experiencias similares. En algunos casos, la falta de respuestas del soporte dejó a los afectados sin posibilidad de recuperar sus cuentas, lo que elevó el nivel de preocupación y puso en debate la responsabilidad de Sony en la protección de los perfiles digitales.