Un fallo de seguridad en PlayStation Network (PSN) ha sido revelado por un periodista francés, exponiendo la vulnerabilidad de las cuentas incluso con la autenticación de dos factores (2FA) activada. El periodista denunció que su cuenta fue comprometida, a pesar de contar con esta capa adicional de seguridad.
Según un informe publicado en el medio francés Numerama, los atacantes modificaron el correo electrónico de inicio de sesión, el nombre de usuario y realizaron una transacción no autorizada de 9,99 euros. Sorprendentemente, al contactar con el servicio de atención al cliente por teléfono, solo se le solicitaron el nombre de usuario de PSN y un número de transacción de una factura antigua, sin importar la fecha de la misma. Con esta información mínima, los atacantes lograron recuperar el acceso a la cuenta.
La situación empeoró cuando, menos de una hora después de la recuperación, la cuenta fue nuevamente hackeada. Ante la dificultad para contactar nuevamente con el soporte técnico, el periodista contactó directamente con el atacante a través de una nueva cuenta de PSN. La respuesta fue reveladora: el atacante afirmó haber obtenido acceso utilizando un “número de transacción que había sido publicado en un artículo anterior”. Resulta que el periodista había incluido una copia de una factura de PSN en un artículo antiguo, la cual fue aprovechada para tomar el control de la cuenta.
El hacker también afirmó haber creado una aplicación específica para acceder a los servidores de Sony, aunque esta afirmación no ha podido ser verificada. Tras el segundo incidente, el periodista contactó nuevamente con el soporte de PSN, quien esta vez solicitó información más razonable, como la fecha de nacimiento, el correo electrónico original del registro y el primer nombre de usuario de la cuenta. Actualmente, el caso está siendo revisado, con la cuenta suspendida y un tiempo de espera estimado de entre 5 y 10 días.
Este caso plantea serias interrogantes sobre los procedimientos de seguridad y verificación de identidad en el ecosistema de PlayStation. Si es cierto que un número de factura antiguo publicado puede utilizarse para tomar el control de una cuenta, muchos usuarios de PSN podrían estar en riesgo, especialmente aquellos que hayan compartido pruebas de transacción públicamente. Hasta el momento, Sony no ha emitido una declaración oficial al respecto.
Se espera que PlayStation implemente medidas de seguridad más estrictas para las cuentas de sus usuarios en el futuro, especialmente a la luz de esta grave amenaza.
