La sombra sobre PlayStation Network: usuarios denuncian una oleada de robos de cuentas
Toni Martinez 
Brecha de seguridad en PlayStation
Varios jugadores aseguran que sus perfiles han sido sustraídos pese a tener activada la doble autenticación, en un caso que apunta al soporte de recuperación de Sony como posible punto débil
El aviso llegó antes que el golpe. Colin Moriarty, exeditor de IGN y una de las voces más conocidas de la comunidad PlayStation en Estados Unidos, recibió un mensaje inquietante de otro usuario que decía haber sido víctima de un ataque: tenían sus datos y tratarían de robarle la cuenta. Dos días después, según relató el propio Moriarty, su perfil de PlayStation Network había sido comprometido. No había caído en un enlace fraudulento, no había entregado su contraseña en una web sospechosa y tenía activada la autenticación en dos pasos. Aun así, perdió el control de una cuenta construida durante años.
La denuncia ha reabierto una preocupación que no es nueva: la seguridad de las cuentas de PlayStation Network, el ecosistema digital donde millones de jugadores almacenan compras, suscripciones, datos de pago, trofeos, contactos y años de historial. La noticia, adelantada por medios especializados y recogida por Europa Press, describe una oleada de robos de cuentas en la que los atacantes no estarían forzando contraseñas ni rompiendo la doble autenticación por métodos técnicos, sino recurriendo a la vieja herramienta de la ingeniería social: convencer al soporte de que son los verdaderos propietarios de la cuenta.
La clave del caso está en una pregunta incómoda: ¿qué ocurre cuando el eslabón más débil no es la contraseña, sino el procedimiento para recuperarla? Según las denuncias publicadas, a los atacantes les bastaría con reunir el identificador de PlayStation Network de la víctima y algún dato asociado a compras antiguas, como un número de pedido o información parcial de una tarjeta utilizada en una transacción. Con ese material, contactarían con el servicio de atención al cliente de Sony para solicitar un cambio del correo vinculado a la cuenta.
Ese detalle convierte el problema en algo especialmente delicado. La autenticación en dos pasos protege frente a muchos ataques comunes, como el robo de contraseñas o el acceso desde dispositivos no autorizados. Pero si el proceso de recuperación permite modificar el correo o desactivar medidas de seguridad tras una verificación débil, la protección queda rodeada por una puerta lateral. Moriarty afirmó que su cuenta fue comprometida pese a tener 2FA y que, tras el incidente, pudo recuperarla gracias a contactos dentro del entorno de Sony, una ventaja que él mismo reconoció que la mayoría de usuarios no tiene.
Sony, por ahora, no ha ofrecido una explicación pública concluyente sobre el alcance del problema. Kotaku informó de que la compañía no respondió a su solicitud de comentario, mientras que Europa Press señala que medios especializados esperaban una respuesta oficial de la empresa japonesa. Esa ausencia de confirmación obliga a escribir con cautela: no estamos ante una brecha reconocida por Sony en sus servidores, sino ante una serie de denuncias de usuarios que apuntan a un posible fallo en los protocolos de recuperación de cuentas.
El caso Moriarty no aparece aislado. En diciembre de 2025, el periodista francés Nicolas Lellouche, de Numerama, relató que su cuenta de PlayStation Network fue robada dos veces en pocas horas pese a utilizar passkey y doble autenticación. Según su investigación, el atacante habría aprovechado un número de transacción visible en una captura antigua para convencer al soporte de Sony de que era el propietario legítimo de la cuenta.
La historia de Lellouche resulta especialmente reveladora porque muestra el carácter paradójico del problema. En la primera recuperación, el soporte le devolvió el acceso con rapidez tras pedirle apenas su alias de PSN y un número de transacción antiguo. Esa misma facilidad que permitió al propietario recuperar su perfil habría sido, según su relato, la que permitió al atacante arrebatárselo de nuevo minutos después.
En el fondo, el conflicto enfrenta dos necesidades legítimas pero difíciles de equilibrar. Por un lado, las plataformas deben ayudar a quienes pierden acceso a su cuenta, cambian de correo, olvidan credenciales o sufren un robo real. Por otro, cualquier vía humana de recuperación se convierte en una oportunidad para el fraude si los controles no son lo bastante sólidos. La ingeniería social no explota una línea de código, sino la confianza, la prisa y las rutinas de un sistema de atención al cliente.
Para muchos jugadores, una cuenta de PlayStation Network ya no es un simple perfil de ocio. Es una caja fuerte digital. En ella pueden convivir cientos de euros en juegos comprados, suscripciones a PlayStation Plus, métodos de pago guardados, partidas en la nube, listas de amigos y una identidad pública construida durante años. Perderla puede significar perder el acceso a una biblioteca completa, especialmente en un mercado cada vez más volcado en la distribución digital.
Ese es el elemento que más inquieta a la comunidad: la sensación de indefensión. Cambiar la contraseña, activar la doble autenticación, usar passkeys y proteger el correo electrónico son medidas necesarias, pero podrían no bastar si un tercero logra persuadir al soporte de que la cuenta es suya. La propia guía oficial de PlayStation recomienda añadir una clave de acceso, no compartir datos de la cuenta, evitar iniciar sesión en dispositivos compartidos y contactar con atención al cliente ante actividad sospechosa. Son pasos útiles, aunque no resuelven por sí solos una posible vulnerabilidad en el proceso interno de recuperación.
La recomendación más inmediata para los usuarios es revisar su huella pública. Capturas de compras, recibos, correos de confirmación, números de pedido, identificadores de PSN o imágenes de perfil pueden parecer inocentes cuando se publican en redes sociales, foros o artículos antiguos. Sin embargo, esos datos pueden acabar convertidos en piezas de verificación ante un operador de soporte. En ciberseguridad, la información menos espectacular suele ser la más peligrosa: no hace falta una contraseña si alguien puede reconstruir suficientes detalles para hacerse pasar por el titular.
También conviene retirar métodos de pago que no se utilicen, revisar el historial de transacciones y activar todas las alertas disponibles. PlayStation recomienda cambiar la contraseña del correo electrónico si el usuario recibe avisos de cambios no reconocidos en su cuenta, revisar cargos sospechosos y contactar con soporte cuando no pueda recuperar el acceso o detecte pagos que no identifica.
El caso llega, además, con un recuerdo incómodo para Sony. PlayStation Network ya sufrió en 2011 uno de los incidentes de seguridad más graves de la historia del videojuego, con una caída prolongada del servicio y la exposición de datos de decenas de millones de cuentas. Aquel episodio pertenece a otra época tecnológica, pero permanece en la memoria colectiva de los jugadores cada vez que aparecen nuevas dudas sobre la protección de la plataforma.
No obstante, lo denunciado ahora parece distinto. No se habla de una intrusión masiva en los servidores de Sony ni de una filtración global confirmada de datos personales. Lo que se describe es una cadena de ataques selectivos basada en información obtenida previamente y en el uso del soporte como vía de acceso. Esa diferencia importa: una brecha técnica se tapa con parches, auditorías y cierres de sistemas; una brecha procedimental exige revisar protocolos, formar operadores y endurecer las pruebas de identidad.
La pregunta que queda sobre la mesa es qué debe exigir una plataforma antes de entregar una cuenta. Un número de transacción antiguo puede demostrar que alguien tuvo acceso a un recibo, pero no necesariamente que sea el propietario actual. Los datos parciales de una tarjeta pueden haber circulado por correos, capturas, bases de datos comprometidas o documentos olvidados. Y el alias de PSN, en muchos casos, es público por naturaleza: aparece en partidas, perfiles, retransmisiones, comunidades y redes sociales.
Por eso, los expertos suelen insistir en que la recuperación de cuentas debe combinar varios factores y, siempre que sea posible, usar canales ya vinculados al titular legítimo: correo original, teléfono registrado, dispositivos de confianza, validaciones temporales, historial de acceso y revisión antifraude. La comodidad no puede pesar más que la seguridad cuando lo que está en juego es la identidad digital de un usuario.
El problema para Sony es reputacional además de técnico. PlayStation es una de las marcas más poderosas del entretenimiento mundial, y su modelo digital descansa en la confianza. Cada compra en la PlayStation Store implica que el usuario acepta no tener un disco físico en la estantería, sino una licencia vinculada a una cuenta. Si esa cuenta se pierde y la recuperación resulta lenta o incierta, la promesa de comodidad digital se transforma en una amenaza.
Moriarty recuperó su cuenta en poco tiempo, pero su caso ha servido precisamente para iluminar lo que podría ocurrirle a un usuario sin altavoz público ni contactos en la industria. Según Kotaku, el soporte llegó a indicarle que el proceso podía tardar hasta tres semanas, antes de que sus contactos permitieran escalar el caso. Para un jugador corriente, tres semanas sin acceso pueden suponer cargos no autorizados, pérdida de control sobre sus comunicaciones y bloqueo de una biblioteca pagada durante años.
La comunidad, mientras tanto, ha reaccionado con una mezcla de alarma y escepticismo. Algunos usuarios consideran que se trata de una vulnerabilidad grave y evidente en el soporte. Otros piden prudencia y recuerdan que muchas denuncias proceden de testimonios en redes sociales, donde no siempre es posible verificar todos los detalles. Esa cautela es razonable: sin informe técnico completo ni reconocimiento oficial de Sony, no puede afirmarse que todas las cuentas estén expuestas del mismo modo ni que todos los casos respondan a idéntico patrón.
Aun así, los indicios publicados comparten un hilo común: cuentas protegidas con medidas avanzadas, cambios de correo no autorizados, uso de información de transacciones antiguas y dificultades para recuperar el acceso sin intervención del soporte. Ese patrón basta para reclamar transparencia. Sony debería aclarar si ha detectado abusos en su sistema de recuperación, si ha cambiado sus protocolos y qué garantías ofrece a los usuarios que han activado 2FA o passkeys.
Mientras llega esa respuesta, la mejor defensa para los jugadores pasa por reducir la información pública disponible sobre sus cuentas. No publicar recibos, borrar capturas antiguas con números de pedido, ocultar datos de compra, limitar la exposición del ID de PSN cuando sea posible, usar métodos de pago temporales o de bajo riesgo y vigilar cualquier correo de cambio de credenciales son medidas prudentes. No eliminan el riesgo, pero dificultan el trabajo del atacante.
La historia deja una lección incómoda: la seguridad digital no termina en el usuario. Una persona puede hacer todo lo recomendado —contraseña fuerte, doble autenticación, passkey, correo protegido— y aun así quedar expuesta si el proveedor permite que un tercero desactive esas barreras mediante una llamada o un chat. En ese punto, la responsabilidad ya no recae solo en quien juega, sino en quien custodia la cuenta.
PlayStation Network vive de la confianza de millones de usuarios. Si esa confianza se agrieta, no basta con pedir a los jugadores que cambien sus contraseñas. Hace falta explicar qué ha ocurrido, cerrar la vía de abuso y garantizar que una compra antigua no vale más que años de medidas de seguridad activadas. Porque en el mundo digital, una cuenta ya no es una llave: es la casa entera.