A lo
largo del fin de semana se ha descubierto un fallo de seguridad crítico que
afectaba al 100% de las cuentas a la plataforma de juegos Steam.
En condiciones normales, cuando un usuario intenta cambiar la contraseña de su plataforma de juegos Steam envía un código por correo electrónico para proceder al cambio. Este código debe copiarse al asistente de cambio de contraseña para poder continuar.
Este
fallo de seguridad permitía que cuando se intentaba cambiar la contraseña de
cualquier usuario y el atacante dejaba el espacio del código en blanco la
plataforma lo identifica como “código correcto” y nos permitía seguir con el
asistente y cambiar la contraseña de dicha cuenta sin ningún tipo de
confirmación adicional.
Desde Valve intentan tranquilizar a los usuarios ya que según afirman las contraseñas no se han desvelado en ningún momento. También recuerdan que aquellas cuentas protegidas por Steam Guard tampoco se han visto comprometidas ya que aunque se ha modificado la contraseña en ningún momento han permitido el acceso a usuarios no autorizados.
Steam Guard: La doble autenticación era la única forma de protegerse
- Todas las cuentas de usuario eran vulnerables. Cualquier usuario que siguiera el proceso podía cambiar la contraseña de cualquier cuenta de la plataforma. Por suerte Steam cuenta con medidas de protección adicionales (aunque son opcionales) para poder reforzar la seguridad de su plataforma de juegos.
- Steam Guard es el sistema de doble autenticación de la compañía. Cuando un usuario intenta iniciar sesión desde una red nueva diferente a la habitual la compañía envía a través del correo electrónico un código alfanumérico que debe introducir para continuar con el proceso de inicio de sesión. Sin dicho código ningún usuario accede a los datos de la plataforma.
- Cuando usuarios malintencionados empezaron a cambiar contraseñas y a apoderarse de diferentes cuentas pudieron darse cuenta de que el sistema Steam Guard no era vulnerable como el código de cambio de contraseña. Por ello, cuando introducían la nueva contraseña aquellos usuarios con este sistema de doble autenticación habilitado recibían un correo electrónico con el código, sin el cual, era imposible acceder a la cuenta.
- Es recomendable, siempre que sea posible, activar todas las medidas de seguridad posibles para proteger el acceso a las cuentas. Ya sea con una doble autenticación como mediante otros sistemas de seguridad de manera que si uno de los sistemas de acceso se ve comprometido nuestra cuenta pueda seguir protegida por otra capa de seguridad adicional.
