El comienzo del hack
El pasado día 24 de noviembre se hizo público que el estudio Sony Pictures estaba bajo ataque. No sólo los empleados no podían identificarse en los ordenadores de la compañía, sino que varias cuentas de Twitter pertenecientes a películas rodadas por la compañía publicaron mensajes en los que se podía leer "Hacked by #GOP" y en los que el grupo autodenominado Guardians of the Peace (Guardianes de la paz) incluía amenazas y menciones a los altos ejecutivos de la empresa.
En un principio, los atacantes amenazaron con publicar información privada y personal que habían obtenido directamente de los servidores de Sony Pictures y subieron a Internet un zip con una lista de documentos que estaban en su poder: informes fiscales, datos sobre sus películas, sus empleados, etc.
El ataque dejó K.O. a Sony Pictures, que en primer momento reaccionó prohibiendo a todos sus empleados utilizar sus ordenadores y les instó a no conectarse con ningún dispositivo móvil a la red de la compañía. El caos inicial se debió también a que los correos corporativos también se mandaron bloquear. "Estamos copletamente parados", decía una fuente procedente del estudio a Deadline.
Este "parón" duró varios días. El 1 de diciembre Sony recuperaba parte de la normalidad con la vuelta de algunos de sus sistemas informáticos, además de sus correos, y confirmaba haber contratado los servicios de Mandiant, un equipo de seguridad informática especializado en este tipo de ataques. Sin embargo, a día 3 de diciembre todavía no habían recuperado todos los sistemas. Todavía hoy hay muchas incógnitas.
Información sensible filtrada
Si el ataque se hubiese limitado a ser una intrusión en la red interna de Sony Pictures, habría sido algo grave. Sin embargo, los atacantes han conseguido acceso directo a información privada y en muchos casos confidencial que el popular estudio probablemente guardaba en algún servidor interno. Por desgracia para la compañía, parte de ella ya se ha filtrado.
Los atacantes han filtrado películas de Sony Pictures que todavía estaban pendientes de estreno en los cines
Unos días después de que el hack se hiciese público, aparecían en la red varias versiones en calidad DVD de alguna de las películas recientes de Sony Pictures. Entre ellas está 'Fury', estrenada hace pocos días en el cine (en España no se verá hasta enero) y con varias semanas por delante antes de llegar al soporte físico. ¿Por qué sabemos que provienen entonces de los hackers? Porque entre las cintas filtradas también se encontraba 'Annie', una película que todavía ni se ha estrenado. Completan la lista 'Still Alice', 'Mr. Turner'y 'To Write Love on Her Arms'.
Además de las películas y de unos Powerpoints horrorosos que nada tienen que envidiar en diseño respecto a los de la NSA, el grupo Guardians of the Peace también ha filtrado en Internet documentos que reflejan autocríticas con la estrategia interna de la compañía (curiosos los comentarios sobre lo irrelevantes que son las películas de Adam Sandler), muchos otros detalles internos y el salario de los principales ejecutivos de Sony Pictures, de algunas compañías con las que trabajan (como Deloitte) y también de algunos actores. Obviamente, esta información no estaba cifrada.
Los actores, además de ver cómo en muchos casos se publicaba información personal y los salarios que estaban recibiendo a cambio de sus películas, han sido blanco de este ataque con la publicación de una lista de nombres en clave que cada uno utiliza para reservar habitaciones de hotel y otros servicios sin llamar la atención para que sus verdaderas identidades sean descubiertas.
Además de las películas, se ha filtrado información personal de los empleados
Los empleados de a pie de Sony Pictures tampoco se han librado. Además de recibir amenazas dirigidas tanto a ellos mismos como a sus familias por correo electrónico, se ha publicado información personal de más de 15.231 empleados entre la que se incluyen más de 47.000 números de la seguridad social, otra información personal e incluso contraseñas.Si fueras una gran corporación y tuvieras cientos de claves, ¿dónde las guardarías? En Sony Pictures lo tienen claro: en un directorio de nombre "Password" y en distintos documentos excel y PDF en texto plano (insertar suspiro aquí). Al descubierto quedaron numerosas cuentas de correo, cuentas en redes sociales y otros servicios web. Un departamento incluso llegó a tener anotado los datos de Amazon y de una tarjeta de crédito, con lo que cualquiera podría haber hecho compras y haberles causado una auténtica faena.
La última hornada de documentos filtrados llegaba esta misma mañana con información de lo más variopinta: desde el teléfono personal de varios actores (entre ellos Brad Pitt) hasta el grado de aceptación de varias estrellas en distintos mercados según estudios internos de Sony. Entre los materiales que se han publicado están, además, guiones de películas por estrenar, como 'Mall Cop: Blart 2', y algunas que todavía no se han empezado a rodar. Incluso aparecen numerosos estudios de mercado sobre posibles nuevas películas, entre ellas Angry Birds.
Esto es lo que se ha filtrado hasta el momento, pero podría haber más
Se desconoce si los atacantes tienen en su poder todavía más información que no han filtrado, aunque es más que probable dado que durante las últimas dos semanas hemos ido conociendo más datos internos con cuentagotas. Ellos aseguran haber conseguido más de 100 terabytes de información confidencial, con lo que esto podría ser sólo la punta del iceberg.¿Cómo se produjo el ataque?
¿Cómo fue posible que este ataque tuviera lugar? Todavía no existe una respuesta a este asunto y las autoridades siguen investigando. No se descarta que haya sido una intrusión desde el exterior con cierta colaboración interna por parte de algún empleado, pero por ahora se trata de simples suposiciones. No hay ninguna versión oficial.
¿Y qué método utilizaron? De nuevo, no ha habido mucha información desde Sony, pero según Mandiant (la compañía contratada para investigar y asegurar de nuevo el sistema) se trata de un "ataque sin precedente" con un "malware indetectable por los antivirus estándar" que incluso ha llevado al FBI a emitir una advertencia a otras grandes compañías debido a esta "crítica amenaza". De hecho, en Mandiant van más allá y aseguran que no se parece a nada a lo que se hayan enfrentado en el pasado y que no había forma de estar preparados contra él.
Una vez conseguida la información, el difundirla es lo más sencillo. En The Pirate Bay aparecían la semana pasada varios torrents de más de 20 gigabytes que en teoría contienen parte de lo filtrado. En The Register todavía van más allá y aseguran que el propio GOP podían haber utilizado los servidores de Sony Computer Entertainment (PlayStation) como fuentes de dichos torrents. Otra posibilidad que no descartan es que Sony esté registrando las IPs de todos los que estén descargando el polémico archivo en cuestión. En principio, Sony Pictures es el único objetivo del ataque y por ahora no parece haberse extendido a otras divisiones de Sony.
¿Quién está detrás?
De nuevo, aquí no tenemos respuesta, más que rumores y suposiciones. Según Mandiant se trata de un "grupo organizado", pero no se atreven a afirmar nada más. Casi desde que se produjo el ataque, son muchos los dedos que apuntan a Corea del Norte, que en un principio, y después de ser preguntada sobre su posible relación con el hack, respondió con un confuso "esperad y veréis". Poco después sí que emitieron un comunicado negando estar relacionados aunque no descartando que pueda ser obra de algún grupo simpatizante.
¿Por qué Corea del Norte es sospechosa de este asunto? En primer lugar porque desde dicho país se han mostrado muy críticos con 'The Interview', una comedia donde Seth Rogen y James Franco interpretan a dos agentes de la CIA encubiertos cuya misión es asesinar a Kim Jong-Un. Desde Corea del Norte llegaron a definir dicha película como un "acto de guerra" y amenazaron con una "respuesta sin piedad" si ésta llegaba a emitirse. ¿Adivináis a qué estudio pertenece? Efectivamente: Sony Pictures. Está previsto que la película se estrene el 25 de diciembre aunque en teoría el estudio editó algunas imágenes para evitar herir sensibilidades.
Se cree que Corea del Norte (ya bien el país o simpatizantes) puede estar detrás del ataque como respuesta a la película 'The Interview' de Sony Pictures
Si bien desde Sony no se han pronunciado y apuntado oficialmente hacia Corea del Sur, sí que internamente valoran esta posibilidad. Existen otras pistas que refuerzan esta teoría: al parecer, el malware usado es similar al que se cree que el año pasado Corea del Norte utilizó contra varios medios de Corea del Sur y, de hecho, se dice que tenía partes escritas en coreano.
La última novedad al respecto, que tiene apenas unas horas, es un mensaje que supuestamente han publicado los atacantes en GitHub. En él se asegura que han hecho llegar claramente a Sony Pictures sus exigencias y les exige "detener inmediatamente la emisión de la película de terrorismo que puede acabar con la paz y comenzar la guerra", en lo que parece una nueva referencia a 'The Interview'. Por ahora, el culebrón parece que no ha hecho más que empezar.