La vulnerabilidad en el soporte de PlayStation permite el robo masivo de cuentas sin necesidad de contraseñas

La brecha fue expuesta por primera vez en diciembre de 2025 por el periodista francés Nicolas Lellouche, cuya cuenta fue comprometida en dos ocasiones a pesar de tener activadas todas las medidas de seguridad recomendadas por Sony. El caso volvió a tomar relevancia en mayo de 2026 tras el hackeo de la cuenta del reconocido podcaster Colin Moriarty, quien perdió el acceso a su perfil a pesar de no haber caído en ningún intento de phishing ni haber compartido sus credenciales.

El método de ataque no requiere conocimientos técnicos avanzados ni el uso de software especializado. Según las investigaciones realizadas por múltiples medios, el atacante solo necesita conocer el nombre de usuario de la víctima y un número de transacción (transaction ID) de una compra previa realizada en PlayStation Store, independientemente de su antigüedad.

Con esos dos datos, el atacante contacta al servicio de atención al cliente de Sony, se hace pasar por el titular legítimo de la cuenta y solicita la recuperación del acceso. Los agentes de soporte, siguiendo los protocolos actuales, aceptan esa información como prueba de propiedad y proceden a cambiar la dirección de correo electrónico vinculada a la cuenta. En ese proceso, la autenticación en dos pasos y las claves de acceso (passkeys) quedan automáticamente desactivadas, dejando la cuenta completamente expuesta.

El caso de Nicolas Lellouche es particularmente revelador. Después de que su cuenta fuera hackeada en diciembre de 2025, Sony prometió marcar su perfil como “de alto riesgo”, lo que implicaba que el equipo de soporte no debía intervenir en ninguna solicitud de recuperación sin verificación adicional.

Esa protección duró apenas seis meses: en mayo de 2026 su cuenta fue comprometida nuevamente. El atacante no alteró el identificador de la cuenta y, según reportes, utilizó el perfil para jugar títulos diferentes a los habituales del periodista, lo que sugiere que el problema no se limita a un atacante específico sino a una falla sistémica en los procesos de verificación de Sony.

Colin Moriarty, presentador del podcast Sacred Symbols y exeditor de IGN, sufrió un ataque similar el 18 de mayo de 2026. Según su testimonio, recibió cientos de correos electrónicos de verificación de servicios como EA, AliExpress, Slack y Substack, una táctica conocida como “bombardeo de correos” que busca saturar la bandeja de entrada y distraer al usuario mientras se ejecuta el ataque principal.

Minutos después, recibió un mensaje de texto informándole que su dirección de correo vinculada a PSN había sido cambiada y que la autenticación en dos pasos había sido desactivada. Su coanfitrión, Dustin Furman, recibió un mensaje desde la cuenta hackeada que decía: “Eres el próximo”. A pesar de contar con contactos dentro de Sony, el proceso de recuperación le llevó varias horas y requirió la intervención de ejecutivos de la compañía.

Moriarty reconoció que su estatus como figura pública fue determinante para recuperar el acceso rápidamente, un privilegio del que no goza la mayoría de los usuarios afectados.

Las cifras agravan la dimensión del problema. PlayStation Network reportó 125 millones de usuarios activos mensuales al cierre de marzo de 2026. La vulnerabilidad afecta a todos ellos, independientemente de las medidas de seguridad que hayan implementado en sus cuentas.

La falla no es un error de software, sino un problema de política interna: el equipo de soporte de Sony prioriza datos analógicos como números de transacción por sobre las capas de seguridad digital diseñadas específicamente para prevenir este tipo de intrusiones.

Hasta el cierre de esta edición, Sony no ha emitido una declaración oficial sobre el estado de la vulnerabilidad ni ha anunciado cambios en sus protocolos de atención al cliente. Los expertos recomiendan a los usuarios no compartir capturas de pantalla de recibos de compra, números de transacción o cualquier otro comprobante de pago en redes sociales o foros públicos. También sugieren eliminar los métodos de pago guardados en la cuenta y revisar periódicamente los inicios de sesión desde dispositivos no reconocidos.

*Fuente: Insider Gaming, 19 de mayo de 2026*