El recuerdo del gran hackeo de PlayStation Network en 2011 sigue siendo una herida abierta para Sony. Entonces, el servicio estuvo caído durante semanas y se vieron comprometidos datos de unos 77 millones de cuentas, en uno de los incidentes más graves de la historia del videojuego online. Ahora, sin que exista por el momento una confirmación oficial de una brecha masiva comparable, una nueva oleada de robos de cuentas de PlayStation ha vuelto a encender las alarmas entre la comunidad.
El caso que ha puesto el foco sobre el problema es el de Colin Moriarty, conocido comunicador del ecosistema PlayStation y presentador del podcast Sacred Symbols. El pasado 18 de mayo, Moriarty afirmó en X que su cuenta de PSN había sido hackeada tras recibir una advertencia previa de otro usuario: “Colin, solo te aviso, tienen tu información y van a intentar robarte la cuenta hoy”. Horas después, según relató el propio afectado, la amenaza se cumplió.
Un ataque que habría esquivado la verificación en dos pasos
Lo más preocupante del caso no es únicamente que una cuenta de PlayStation haya sido comprometida, sino la forma en la que presuntamente se habría producido el ataque. Moriarty aseguró que su cuenta estaba protegida con verificación en dos pasos y que no había caído en un phishing convencional. Es decir, no habría entregado su contraseña en una página falsa ni habría hecho clic en enlaces sospechosos.
Según publicaciones recogidas por medios especializados como Insider Gaming y Kotaku, varios usuarios apuntan a un posible fallo en el proceso de recuperación de cuentas a través del soporte de PlayStation. La hipótesis es que los atacantes podrían estar utilizando información parcial del usuario para convencer al servicio de atención al cliente de que son los propietarios legítimos de la cuenta.
La información necesaria sería, en teoría, sorprendentemente limitada: la ID pública de PSN y algún dato antiguo de transacción, como un número de pedido o los últimos dígitos de una tarjeta utilizada en compras anteriores. Con esos datos, los atacantes podrían solicitar el cambio del correo electrónico asociado a la cuenta y desactivar la verificación en dos pasos.
Si este procedimiento se confirma, el problema sería especialmente grave porque desplaza el punto débil desde el usuario hacia el propio sistema de soporte. En otras palabras: aunque una persona tenga una contraseña robusta y doble factor de autenticación, su cuenta podría quedar expuesta si el canal de recuperación permite saltarse esas protecciones.
La ingeniería social contra el soporte técnico
Este tipo de ataques no son nuevos en ciberseguridad. Se conocen como ataques de ingeniería social contra soporte técnico o support desk attacks. En lugar de atacar directamente la contraseña, los ciberdelincuentes intentan manipular a quienes tienen capacidad para resetear accesos, modificar correos o desactivar barreras de seguridad.
El caso de PlayStation es especialmente delicado porque muchas cuentas acumulan años de compras digitales, suscripciones, datos de pago, listas de amigos, trofeos y bibliotecas completas de videojuegos. Perder el acceso a una cuenta de PSN no es solo una molestia: puede suponer la pérdida temporal o definitiva de un patrimonio digital construido durante años.
Moriarty logró recuperar su cuenta en pocas horas gracias a sus contactos dentro de Sony y estudios vinculados a PlayStation. Él mismo reconoció que esa no es una ventaja al alcance de la mayoría de usuarios. Para un jugador anónimo, el proceso podría ser mucho más lento, especialmente si el soporte tarda días o semanas en resolver la incidencia.
Sony aún no ha aclarado públicamente el alcance del problema
Por ahora, Sony no ha ofrecido una explicación pública detallada sobre el alcance de estos incidentes ni sobre si existe una vulnerabilidad activa en sus procesos internos de soporte. Esa falta de información alimenta la preocupación entre los usuarios, sobre todo porque algunos informes señalan que el problema podría afectar tanto a cuentas prominentes como a perfiles aleatorios.
No se puede afirmar, con la información disponible, que estemos ante un nuevo “hackeo masivo” al estilo de 2011. La situación parece distinta: no hablamos de una intrusión confirmada en los sistemas centrales de PlayStation Network, sino de posibles robos selectivos de cuentas mediante abuso del procedimiento de recuperación. Pero el riesgo reputacional para Sony es evidente.
