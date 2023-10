Sony ha confirmado ser v√≠ctima de un ataque del grupo de 'ransomware' conocido como C10p, que logr√≥ descargar datos personales de miles de trabajadores de la compa√Ī√≠a en Estados unidos, a trav√©s de un ciberataque al servicio MOVEit Transfer.

MOVEit Transfer, de la compa√Ī√≠a Progress Software, es un 'software' de transferencia de archivos que utilizan m√ļltiples empresas en su d√≠a a d√≠a, entre ellas, Sony Interactive Entertainment (SIE).

En este sentido, el grupo de ciberdelincuentes de 'ransomware' C10p llevó a cabo un ataque durante el mes de mayo contra este servicio de transferencia, que ha acabado afectado a diversas empresas, incluidas la BBC y, ahora, también a SIE.

Sony ha notificado a alrededor de 6.800 empleados supuestamente afectados por este ciberataque a través de un correo informativo, recogido por Bleeping Computer, en el que les informa de que parte de su información personal puede haber acabado en manos de C10p.

En concreto, la compa√Ī√≠a ha detallado que el 28 de mayo de este a√Īo encontr√≥ una vulnerabilidad en la que un actor no autorizado descarg√≥ algunos archivos de SIE almacenados en la plataforma MOVEit. Esta violaci√≥n de datos se confirm√≥ cuando d√≠as despu√©s, el 31 de mayo, Progress Software anunci√≥ una vulnerabilidad reci√©n descubierta en su plataforma MOVEit Transfer.

Tras ello, Sony ha relatado que el 2 de junio su equipo de seguridad descubri√≥ las descargas no autorizadas y pas√≥ a desconectar "inmediatamente" la plataforma y a solucionar la vulnerabilidad. Adem√°s, ha subrayado que, a partir de ese momento, se inici√≥ una investigaci√≥n con expertos en ciberseguridad externos a la compa√Ī√≠a.

En el proceso de investigación, Sony analizó los archivos descargados para averiguar qué tipo de información se vio afectada y con quién se relacionaba dicha información. En este marco, se comprobó que se descargaron datos personales de miles de empleados de SIE, aunque no pudieron corroborar si dichos datos han sido publicados o se han utilizado de forma ilegal.

La notificaci√≥n de la compa√Ī√≠a se ha compartido con empleados y exempleados de SIE, adem√°s de con familiares cercanos de dichos empleados. En concreto, seg√ļn la Oficina del Fiscal General de Maine, la informaci√≥n sensible se relaciona con 6.791 personas en Estados Unidos.

Por otra parte, Sony ha trasladado que, adem√°s de remediar la vulnerabilidad, han aumentado la monitorizaci√≥n de sus sistemas y han tomado "otras medidas" para que no vuelva a ocurrir otra violaci√≥n de datos similar en el futuro. Incluso, la compa√Ī√≠a ofrece servicios gratuitos de monitorizaci√≥n de cr√©dito y restauraci√≥n de identidad para los empleados afectados.

Además de todo ello, también ha subrayado que este ciberataque se ha limitado a la plataforma MOVEit Transfer y que, por tanto, no ha afectado a ninguno de sus otros sistemas.

Finalmente, Sony ha recomendado a sus empleados "permanecer alerta" contra las amenazas de robo de identidad o fraude, así como "revisar y monitorear" los estados de sus cuentas y el historial de crédito por si se hubiera realizado alguna transacción o actividad irregular.

Una segunda violación de seguridad

Por otra parte, Sony también ha confirmado en declaraciones a Bleeping Computer que ha estado investigando unas acusaciones recientes sobre otro incidente de seguridad en sus sistemas.

Al respecto, la compa√Ī√≠a ha confirmado que ha trabajado con "expertos forenses externos" y, como resultado, han identificado actividad sospechosa en un servidor que disponen en Jap√≥n para llevar a cabo pruebas internas para el negocio de Entretenimiento, Tecnolog√≠a y Servicios (ET&S).

Sony ha asegurado que desconect√≥ el servidor y que, actualmente, contin√ļa la investigaci√≥n. No obstante, ha hecho hincapi√© en que no hay indicios de que los datos de los clientes o socios comerciales que estuvieran almacenados en el servidor afectado hayan sido vulnerados. "No ha habido ning√ļn impacto adverso en las operaciones de Sony", ha sentenciado la compa√Ī√≠a.