Nicolas Lellouche, periodista del sitio web Numerama, perdió el acceso a su cuenta de PlayStation. El atacante cambió el correo electrónico y la contraseña asociados y cobró 9,99 euros a través de PayPal vinculado para cambiar el nombre de usuario. El caso ocurrió en França y tuvo repercusiones luego de que Lellouche compartiera detalles en las redes sociales. El hackeo ocurrió dos veces en unas pocas horas, lo que resalta una debilidad en el proceso de verificación de propiedad de la cuenta por parte del soporte de Sony.
El hacker utilizó ingeniería social para convencer al soporte de PlayStation de que él era el legítimo propietario de la cuenta. Ele solo proporcionó el nombre de usuario y un número de identificación de transacción de una compra anterior, obtenidos de una captura de pantalla compartida públicamente por Lellouche en 2023. Essa fue información suficiente para que el soporte otorgara acceso, evitando todas las medidas de seguridad digital activadas.
Lellouche recuperó temporalmente la cuenta después de contactar al soporte, pero el atacante repitió el procedimiento poco después, demostrando que el método se puede aplicar varias veces sin alertas en el sistema.
Cómo ocurrió la invasión inicial
El periodista recibió notificaciones de un cambio en el ID de conexión y un cargo inesperado en PayPal. Al intentar acceder a la cuenta, descubrió que el correo electrónico y la contraseña habían sido modificados y su consola PS5 estaba desconectada de forma remota. El hacker, identificado como “Derol Bodden” en mensajes internos de PSN, eliminó amigos, conversaciones y cambió datos personales de la cuenta.
Lellouche contactó directamente con el atacante a través de mensajes en la plataforma PlayStation. El hacker explicó el proceso y afirmó que el soporte de Sony requiere controles mínimos para transferir la propiedad de la cuenta.
Debilidades en el proceso de apoyo
El soporte de PlayStation aceptó el ID de la transacción como prueba única de propiedad, sin requerir datos adicionales como la fecha de nacimiento o el historial de acceso completo. La práctica de Essa facilita las estafas de ingeniería social, donde el atacante convence al agente de soporte para que realice cambios sin validaciones rigurosas.
Los expertos en seguridad señalan que información como números de transacciones, números de serie de consolas antiguas o datos de tarjetas previamente vinculadas se pueden utilizar de la misma manera. Hackers recopila estos datos a partir de capturas de pantalla compartidas en línea, incluso en informes de noticias o foros.
- Evite publicar imágenes de correos electrónicos de PSN o facturas que muestren ID de transacciones.
- No comparta números de serie de la consola ni detalles de compras anteriores.
- Utilice tarjetas prepago para compras en la tienda digital, limitando los riesgos financieros.
- Supervise las notificaciones de acceso y los cambios de cuenta con regularidad.
Recuperación y repetición del ataque.
Después de la primera recuperación, Lellouche reactivó la seguridad y cambió las credenciales. Sin embargo, en menos de una hora, el hacker repitió el contacto con el soporte y recuperó el control. El sistema no marcó como sospechosas varias solicitudes consecutivas para la misma cuenta.
El periodista abrió un nuevo ticket de soporte, el cual permanece en análisis. Ele planea publicar más investigaciones sobre el caso.
Medidas de protección recomendadas
Los usuarios de PSN deben reforzar los hábitos de seguridad para minimizar las exposiciones. Habilitar 2FA y claves de acceso protege contra intrusiones directas, pero no contra manipulación de soporte humano.
Los expertos sugieren eliminar los métodos de pago permanentes de la cuenta y optar por métodos adicionales únicos. Além Además, revise publicaciones antiguas en las redes sociales para eliminar cualquier dato confidencial relacionado con PlayStation.
- Habilite las notificaciones por correo electrónico para todos los cambios de cuenta.
- Utilice administradores de contraseñas para credenciales únicas y complejas.
- Evite vincular tarjetas de crédito directamente; Prefiera billeteras o tarjetas de regalo.
- Si sospecha, comuníquese con el soporte de inmediato con prueba de propiedad.
Historia de problemas similares
Los casos de robo de cuentas de PSN a través del soporte ocurren periódicamente y afectan a coleccionistas de trofeos y usuarios comunes. En incidentes anteriores, los piratas informáticos vendieron cuentas valiosas en el mercado negro después de obtener un acceso similar.
Sony enfrentó críticas por no implementar controles más sólidos, como frases de contraseña o análisis de patrones de acceso. Até Hasta el momento, la empresa no ha comentado públicamente sobre el caso de Lellouche.
Repercusión en la comunidad de jugadores.
El informe se volvió viral en redes sociales y foros de juegos, generando debates sobre la confiabilidad de PSN para extensas bibliotecas digitales. Jogadores expresa preocupación por las inversiones en juegos y contenidos que podrían perderse permanentemente.
Las comunidades recomiendan guardar copias de seguridad en la nube y un monitoreo constante. El incidente refuerza la importancia de la privacidad en línea en el intercambio casual.
Pautas finales de seguridad
Mantener la privacidad de los datos personales evita que los piratas informáticos obtengan la información necesaria para estafas de soporte. Combinar potentes herramientas digitales con precaución en la exposición pública ofrece una mejor protección.
Los usuarios afectados deben disputar los cargos indebidos con los bancos o PayPal y documentar todas las interacciones con el soporte para posibles escaladas.
