ARTDEPARTMENT
ARTDEPARTMENT
En las últimas horas, varios medios especializados han informado de que el hacker conocido como Machine1337 habría puesto a la saldo una almohadilla de datos con más de 89 millones de cuentas en un foro de la dark web por 5.000 dólares. Según se ha confirmado, los datos pertenecerían a usuarios de Steam, la longevo plataforma de distribución de videojuegos digitales del mundo.
Valve ha surgido al paso de los rumores confirmando que los datos filtrados provienen efectivamente de mensajes de Steam, aunque niega tajantemente que se haya producido una brecha en sus sistemas.
Según la información publicada, la almohadilla de datos incluye números de teléfono, metadatos relacionados con la autenticación en dos pasos y códigos de un solo uso enviados por SMS, aunque estos últimos ya habrían caducado por el tiempo transcurrido desde su radiodifusión.
Valve, en declaraciones recogidas por XDA-Developers, ha declarado lo ulterior:
Ayer nos dieron a conocer los informes de filtraciones de mensajes de texto antiguos que se habían enviado previamente a los clientes de Steam. Hemos examinado la muestra de fugas y hemos determinado que ESTO NO fue una violación de los sistemas Steam.
La compañía añade que sigue investigando la fuente de la filtración, y apunta a que los mensajes SMS no están cifrados durante su tránsito, lo que los hace más vulnerables. En su repaso hasta el sucesor pasan por múltiples intermediarios, por lo que la filtración podría sobrevenir tenido espacio fuera de sus propios servidores.
Valve asegura que la información filtrada no incluye contraseñas, información de plazo, ni datos personales asociados a las cuentas de Steam, más allá del número de teléfono al que se enviaron los mensajes y los códigos temporales. Estos códigos, adicionalmente, solo eran válidos durante un periodo de 15 minutos y no pueden estar de moda para aceptar a cuentas.
Desde la perspectiva de Steam, los clientes no necesitan cambiar sus contraseñas o números de teléfono como resultado de este evento. Es un buen recordatorio para tratar cualquier mensaje de seguridad de la cuenta que no haya solicitado explícitamente como sospechoso. Recomendamos revisar regularmente la seguridad de su cuenta de Steam en cualquier momento en https://store.steampowered.com/account/authorizeddevices.
¿Dónde se produjo entonces la brecha? Una de las grandes incógnitas del caso es dónde se produjo exactamente la filtración. Valve señala que el remesa de los mensajes SMS implica la billete de proveedores externos, y algunas voces apuntan a Twilio como posible anillo comprometido. Aunque por ahora no hay ninguna confirmación oficial, esta situación reabre el debate sobre la fragilidad de los SMS como sistema de autenticación.
Los mensajes SMS no están cifrados, por lo que pueden ser interceptados durante su tránsito sin obligación de aceptar a los servidores de origen o destino. Esta vulnerabilidad estructural podría sobrevenir sido explotada para capturar los datos ahora puestos a la saldo.
Como medida preventiva, Valve insta a los usuarios a sustituir el sistema de autenticación por SMS por Steam Mobile Authenticator, integrado en la app de Steam Guard. Este sistema es más seguro, ya que opera desde la propia aplicación móvil y evita el remesa de mensajes no cifrados.
Para ilustrar la fiabilidad de su sistema, Valve recuerda un visaje del propio Gabe Newell, CEO de la compañía, quien hace 14 abriles retó públicamente a que hackearan su cuenta de Steam proporcionando incluso su secreto de acercamiento. Hasta la plazo, nadie ha conseguido hacerlo, lo que refuerza la seguridad del ecosistema Steam cuando se configura correctamente.
En definitiva, aunque la filtración ha puesto en alerta a los usuarios, no se ha vulnerado directamente la plataforma de Steam, y los datos comprometidos son residuales y caducados. Aun así, desde Valve insisten en seguir buenas prácticas de seguridad y entregarse el uso de SMS como método principal de autenticación.
Imágenes | Florian Olivo Xataka Móvil
En Genbeta | Have I Been Pwned integra más de 220 millones de datos nuevos: así puedes ver si tu contraseña fue robada en alguna brecha nuevo
Compartir este artículo
Consultoria Personalizada
¡Si aun no tienes presencia en internet o
necesitas ayuda con tus proyectos, por favor, escribenos!
En ARTDEPARTMENT nos especializamos en brindar soluciones para que tu negocio, empresa o proyecto sea visible en internet.