Los datos perdidos de más de 77 millones de usuarios de la PlayStation de Sony se han ido y no volverán. Como los niños perdidos en el país de nunca jamás del célebre libro de Peter Pan; pero, en esta ocasión, los que se han apoderado de los datos no han sido los piratas del capitán Garfio sino los piratas informáticos.
Es un robo preocupante dado el tipo de datos registrados, básicamente nombres, direcciones postales y de correo electrónico, fechas de cumpleaños, nombres de usuario, contraseñas y números de tarjetas de crédito. Tanto es así que Sony aconseja revisar regularmente los movimientos de las cuentas bancarias, cambiar el nombre de acceso y la contraseña y ser especialmente cauteloso cuando se reciban comunicaciones procedentes de bancos o de la misma PlayStation.
Quizá ya es hora de que, a diferencia del irresponsable Peter Pan, las empresas y los propios usuarios asuman responsabilidades en lugar de seducirnos con unas prestaciones aparentemente sin peligro aprovechándose del desconocimiento del nuevo entorno de la web.
Se acusa a la compañía de haber tardado demasiados días en comunicar a los usuarios el robo de sus datos. Al principio, sus representantes declararon que no se tenían evidencias de que el intruso se hubiera hecho con los datos privados de los usuarios, aunque tampoco se descartó. ¿Se trataba de ocultar el problema o de estar seguros del alcance del ataque? Desde el 2002 la legislación de California obliga a notificar lo más pronto posible las pérdidas de datos, y la directiva europea de 2009/136/CE se mueve en el mismo sentido.
Después de conocer que los servicios de PlayStation Network iban a comenzar a restablecerse poco a poco, la compañía japonesa volvía a notificar que la plataforma Sony Online Entertainment también había sido víctima de un ataque informático que se hizo con los datos de 24,6 millones de cuentas activas, incluyendo información referente a fechas de nacimiento o correos. La empresa se ha apresurado a precisar que ambos casos no están relacionados.
¿Tiene acaso Sony algún problema específico con la seguridad o simplemente se ha dado cuenta de que lo mejor es reconocer lo más pronto posible esta nueva fuga de datos? Aunque Sony ya ha prometido compensaciones a los usuarios en forma de días de suscripción gratuitos y otras fórmulas, es probable que después de lo que ha pasado numerosos clientes decidan anular sus cuentas.
Precisamente esto es lo más grave de la situación: junto a la pérdida de datos hay una pérdida de confianza de los ciudadanos respecto a cómo compañías pioneras en las nuevas tecnologías gestionan su información personal.
La confianza es un estado subjetivo que se nutre de hechos objetivos que la hacen aumentar o disminuir. Es un patrimonio que se pierde con mucha facilidad y que cuesta mucho recuperar. No hay duda de que la pérdida de confianza afectará a otras iniciativas que puedan proponer empresas de este y otros sectores. El comercio online se expande a la moda, al turismo, a la música. Tener presentes casos como este al comprar un billete de avión hace más difícil atreverse a introducir el número de tarjeta de crédito en el sistema.
Desde la perspectiva técnica es muy probable que hayan fallado muchas medidas de seguridad y organizativas. Además, un incidente como este pone en el punto de mira la seguridad del cloud computing, un modelo de aprovisionamiento de servicios de tecnologías de la información y la comunicación que almacena los datos y aplicaciones de los usuarios en la red.
Durante el primer trimestre del año, otra empresa del sector sufrió un percance similar. Los datos personales de 4.000 usuarios quedaron al descubierto, pero a diferencia de la situación actual se comunicó el problema inmediatamente en un ejercicio de transparencia.
Tanto las entidades públicas como las empresas privadas están obligadas a adoptar medidas de seguridad para que los datos personales no se pierdan o sean utilizados por terceros. No basta con diseñar procedimientos de seguridad idóneos e implantarlos; hay que verificar de forma periódica que cumplen con su función, muy especialmente, como en este caso, cuando se detectan incidentes.
Si las empresas que tratan datos de carácter personal dieran formación especifica a sus profesionales y les informaran de sus obligaciones y responsabilidades se podrían detectar estas situaciones de riesgo. Porque el factor humano es un elemento crítico en la seguridad de la información.
En la actualidad se está planteando un nuevo enfoque global de la normativa europea de protección de datos para adecuarla a las nuevas tecnologías. El problema es que las organizaciones se resisten, como Peter Pan, a asumir responsabilidades y solo ven sus inconvenientes. Si se hubieran adoptado los mecanismos de seguridad que hemos señalado, recogidos ya en las distintas legislaciones, estos habrían sido eficaces y se hubieran evitado perjuicios a todos los usuarios.
Por Esther Mitjans, directora de la Autoridad Catalana de Protección de Datos.