¿El hackeo de Sony comenzó desde febrero?

En realidad no se sabe cuánto tiempo han estado los hackers en los servidores de Sony. Pero los piratas obtuvieron las credenciales de dos cuentas de usuario corporativas de un servidor de Sony Pictures en febrero, y “pueden haber subido algún tipo de malware” a la red, de acuerdo a un correo electrónico filtrado por los hackers que fue enviado por Courtney Schaberg, vicepresidente de cumplimiento legal de Sony, a sus colegas.

En un correo electrónico posterior, Schaberg escribió que los nombres y direcciones de correo electrónico de 759 personas “asociadas a los cines en Brasil” se habían exfiltrado. Schaberg reveló la información como parte de una discusión sobre si Sony tenía la obligación, en virtud de la legislación brasileña, de notificar a los afectados por la violación.

Cabe destacar que el nombre de Phil Reitinger aparece en la conversación del correo electrónico. Reitinger es una gran arma en la seguridad, habiendo servido una vez como Subsecretario Adjunto para el Departamento de Protección y Seguridad Nacional y Dirección de Programas. El NPPD (por sus siglas en inglés) ayuda a proteger los sistemas civiles del gobierno. Reitinger es también un ex ejecutivo de Microsoft, el ex director del Departamento de Defensa de Cyber Crime Center e, irónicamente, el ex subjefe del Departamento de Justicia de Delitos Informáticos y Propiedad Intelectual.

Dejó su trabajo de DHS en 2011 para unirse a Sony como jefe de seguridad de la información, donde él es responsable de supervisar los esfuerzos de seguridad global de la compañía. El año pasado también fue nombrado asesor de seguridad cibernética del gobernador de Nueva York, Andrew Cuomo.

Una ficha de datos filtrada muestra que en 2011, el año en que Reitinger se unió a la empresa, Sony tenía una práctica de almacenar contraseñas, números de Seguro Social, fechas de nacimiento y otra información confidencial sin encriptar. El documento muestra, por ejemplo, que la empresa estaba almacenando sin cifrar Números de Seguridad Social para 10.000 personas, presumiblemente empleados, en su sitio web de beneficios corporativos. Cerca de 14.000 nombres, direcciones de correo electrónico y contraseñas también eran almacenadas sin cifrar en el servidor usado para la página web de Sony Pics Stock Footage. Es de suponer que estas credenciales no pertenecían sólo a empleados de Sony que necesitaban tener acceso al metraje almacenado, sino también a periodistas y otros que lo usaban.

No está claro si estos datos en particular se mantuvieron sin cifrar bajo la vigilancia de Reitinger, pero otros números de Seguridad Social se han filtrado en Internet por los hackers, y el carácter generalizado del hackeo de Sony y el enorme volumen de datos exfiltrados por los hackers proporciona evidencia de que los problemas de seguridad persistían.