Imagina que compras un Ferrari, te lo llevas a casa, y a las 3 de la mañana vienen del concesionario a sellar la tapa del motor para que no puedas cambiarle el aceite tú mismo. Y encima, cuando te quejas, te demandan. Suena absurdo, pero es prácticamente lo que hizo Sony con la PlayStation 3. Esta es la historia de cómo una de las consolas más poderosas de su era terminó siendo hackeada por culpa de un solo número: el cuatro.
La PS3 no era una consola, era una nave espacial
Año 2006. Sony lanza la PlayStation 3 con el procesador Cell, una arquitectura tan adelantada a su tiempo que mientras una PC doméstica de la época apenas podía abrir el Windows Live Messenger con fluidez, la PS3 era una bestia de cómputo sin precedentes en el mercado de consumo.
Ken Kutaragi, el ingeniero detrás de la consola, no estaba pensando solo en videojuegos. Quería que la PS3 pudiera simular física compleja, procesar datos científicos, servir como plataforma de computación real. Y para respaldar esa visión, Sony incluyó en el sistema una función llamada OtherOS: la posibilidad de instalar Linux directamente en la consola, con soporte oficial, apretando un botón.
La comunidad enloqueció. Era como comprar una batidora y descubrir que también servía para propulsar una lancha. Pero la señal más elocuente de lo que representaba esa máquina la dio el ejército de los Estados Unidos: la Fuerza Aérea adquirió 1.760 unidades de PS3, las interconectó en una nave industrial y construyó el llamado Condor Cluster, una supercomputadora militar que llegó a ser la 33ª más potente del mundo en su momento. Inversión total: aproximadamente 2 millones de dólares. Una ganga para ese nivel de potencia.
El problema del negocio y la traición de OtherOS
Detrás del impresionante hardware había un problema financiero serio: Sony estaba perdiendo alrededor de 300 dólares por cada PS3 vendida. El plan era el clásico de la industria —vender el hardware a pérdida y recuperar el margen con los juegos— pero el ejército, los investigadores y los usuarios que instalaban Linux no compraban juegos. Las cuentas no salían.
En 2010, con el lanzamiento de la PS3 Slim, Sony decidió actuar. La actualización de firmware 3.21 eliminó la función OtherOS de todos los modelos anteriores. A los usuarios que ya tenían Linux instalado se les presentaron dos opciones igual de malas: actualizar el firmware y perder Linux, todos sus datos y configuraciones, o no actualizar y quedarse sin acceso a PlayStation Network, sin juegos online y sin compatibilidad con títulos que requirieran versiones más recientes del sistema.
Era exactamente lo del Ferrari: te venden una casa con piscina y dos años después la constructora viene a rellenarla de cemento. Sony no había vendido simplemente una consola; había vendido una consola con una característica específica por la que mucha gente pagó. Quitarla mediante una actualización remota fue, técnica y moralmente, una guarrada histórica.
Entra Geohot: el número que lo cambió todo
George Hotz, conocido como Geohot —el mismo que años antes había hackeado el iPhone— había comprado su PS3 precisamente para usar Linux. Cuando Sony se lo quitó, su respuesta fue sencilla: «Sujétame el cubata.»
Geohot descubrió un glitch en el hardware que, con un pulso eléctrico aplicado en el momento exacto, permitía acceder a la memoria de la consola. Era como descubrir que en un castillo con 50 guardias hay una piedra en la parte de atrás que, si la golpeas justo cuando el guardia de turno estornuda, te permite colarte hasta la cocina.
Pero el golpe definitivo lo dio el grupo Fail0verflow, que encontró algo todavía más grave: la llave estaba puesta por fuera. El sistema criptográfico que Sony usaba para firmar sus archivos se basaba en curvas elípticas —el estándar ECDSA— un método que requiere generar un número aleatorio diferente para cada firma criptográfica. Ese número aleatorio es la piedra angular de la seguridad del sistema; si se repite, toda la protección se derrumba.
Los ingenieros de Sony habían puesto como «número aleatorio» el valor fijo 4. Siempre el mismo. En todas las firmas. Para siempre.
No era un error de implementación complejo ni un fallo oscuro en el silicio. Era el equivalente a proteger todas tus cuentas bancarias, redes sociales y correos electrónicos con la contraseña «1234». Con ese número, cualquier persona podía tomar cualquier software, firmarlo criptográficamente como si fuera oficial de Sony e instalarlo en la consola sin que el sistema lo distinguiera del software legítimo.
La reacción de Sony: demandar en lugar de disculparse
La respuesta lógica ante un error así habría sido reconocerlo, pedir disculpas y buscar una solución. Sony eligió el camino opuesto: empezar a demandar a todo el que se moviera. Geohot fue demandado. Fail0verflow fue demandado. Sony llegó a solicitar los registros de visitas de las cuentas de YouTube y Twitter de los involucrados.
La comunidad reaccionó como suelen reaccionar las comunidades técnicas cuando sienten que se les ataca injustamente: con humor y con furia a partes iguales. El número 4 se convirtió en símbolo de resistencia. Aparecía en camisetas, en firmas de foros, en biografías de Twitter. Mientras los abogados de Sony intentaban suprimir la clave en internet, el responsable de marketing de la propia empresa retuiteó accidentalmente una publicación que la contenía.
Y entonces apareció Anonymous. Si Geohot había liberado la consola, los otros fueron a por los servidores. La PlayStation Network resultó tener una seguridad que haría llorar a cualquier auditor moderno: inyección SQL, contraseñas almacenadas en texto plano sin encriptar. El resultado fue catastrófico: 77 millones de cuentas comprometidas, datos personales y financieros expuestos, y la PSN caída durante semanas. Millones de jugadores sin acceso a nada.
El desenlace y la lección
Cuando la tormenta amainó, Sony negoció un acuerdo silencioso con Geohot: ellos lo dejaban en paz y él los dejaba en paz a ellos. Las demandas se archivaron. La PSN volvió a funcionar. Y a los usuarios cuyos datos habían sido robados, Sony les ofreció como compensación dos juegos gratuitos. Entre ellos, LittleBigPlanet.
La lección que quedó grabada en la historia de la industria es tan obvia que resulta increíble que haya hecho falta aprenderla de esta manera: si vendes un producto con unas características, esas características son parte de lo que la gente compró. No puedes entrar en casa del usuario años después y quitárselas.
Y si encima tu sistema criptográfico de seguridad descansa sobre el número cuatro, quizás lo mejor es no meterse en pleitos con las personas más hábiles técnicamente del planeta.
Línea de tiempo del Video
00:00 El Ferrari sellado (La gran analogía)
01:10 Sony y la PS3: No era una consola, era una nave
02:08 ¿Por qué Linux en una PlayStation?
03:36 El «OtherOS» y la traición de Sony
06:04 Geohot entra en escena: El Número 4
06:40 El pollo legal: Demandas y Anonymous
09:57 Servidores caídos y el «regalito» de Sony
11:09 Lo que aprendimos: No toques mi hardware
