Luego de que sonara una alarma entre los usuarios de Steam tras la publicación de Underdark AI en LinkedIn, la cual fue compartida poco después por MellowOnline1 (creador del grupo comunitario SteamSentinels que monitorea el abuso y el fraude en el ecosistema Steam) sobre posibles datos filtrados de cuentas de la plataforma, Valve pudo verificar que los datos de las 89 millones de cuentas no corren ningún riesgo, mencionando en una publicación que «la reciente filtración de la que se ha informado NO vulneró los sistemas de Steam«.
«Es posible que hayas visto noticias sobre filtraciones de antiguos mensajes de texto que se enviaron en su día a usuarios de Steam. Hemos examinado la muestra de la filtración y hemos determinado que NO se debió a una vulneración de los sistemas de Steam.
Seguimos investigando el origen de la filtración, que se ve agravada por el hecho de que los mensajes SMS no están cifrados durante su transmisión y pasan por varios proveedores antes de llegar a tu teléfono.
La filtración consistió en mensajes de texto antiguos que incluían códigos de un solo uso, válidos únicamente durante un período de 15 minutos, y los números de teléfono a los que se enviaron. Los datos filtrados no asociaban los números de teléfono con ninguna cuenta de Steam, contraseña, información de pago u otro dato personal.
Los mensajes de texto antiguos no pueden utilizarse para comprometer la seguridad de tu cuenta de Steam, y cada vez que se utiliza un código recibido por SMS para cambiar el correo electrónico o la contraseña de tu cuenta, recibes una confirmación por correo electrónico o mediante mensajes seguros de Steam.
No necesitas cambiar tus contraseñas ni tus números de teléfono a causa de este incidente. No obstante, es un buen recordatorio para sospechar de cualquier mensaje de seguridad de la cuenta que no hayas solicitado tú explícitamente. Te recomendamos que revises de forma periódica la seguridad de tu cuenta de Steam en esta página: https://store.steampowered.com/account/authorizeddevices
También deberías configurar el autenticador móvil de Steam si aún no lo has hecho, ya que nos ofrece la mejor forma de enviarte mensajes seguros sobre tu cuenta y su seguridad.»
En pocas palabras, lo único que pudo obtener este hacker son registros de mensajes de texto con un código de autenticación de dos factores (A2F) que se introduce al iniciar sesión en Steam. Estos códigos solo están activos durante 15 minutos y no están vinculados a las cuentas de Steam y su respectiva contraseña, información de pago ni ningún otro dato personal.
Por eso es que el único dato relativamente preocupante son los números de teléfono, los cuales no le sirven de nada a nadie si no se tienen los datos del nombre de usuario y la contraseña de la cuenta de Steam, por eso es que Valve asegura que no hay riesgo de ningún tipo y que no es necesario que los usuarios cambien la contraseña ni mucho menos su número de teléfono. No obstante, Valve recuerda a los usuarios de Steam que estén atentos a cualquier actividad o mensaje sospechoso.
La publicación de Underdark.ai indicaba que un usuario de un foro de la dark web afirmaba tener un conjunto de datos de más de 89 millones de cuentas de Steam que vendía por 5000 dólares. Añadió que el usuario tenía «datos de muestra» como prueba y un número de Telegram al que llamar si alguien estaba interesado en comprarlas.
Esto planteó la pregunta sobre cómo se produjo la filtración, pero todavía no está del todo claro. El primer punto de contacto fue la propia Valve, pero esa no parecía ser la fuente. Luego todo parecía indicar que el responsable era Twilio, afirmando que esta gestiona los sistemas de doble factor (o autenticación de dos factores, llamado 2FA) de Steam y que la filtración se produjo desde dentro de sus sistemas, pero Valve se puso en contacto con MellowOnline1 y afirmó que nunca usó Twilio.
Twilio es una empresa de comunicaciones en la nube que proporciona una API para el envío de SMS, llamadas de voz y mensajes de doble factor (2FA), ampliamente utilizadas por aplicaciones para la autenticación de usuarios, pero Valve dejó en claro que no utiliza Twilio.
Cuando BleepingComputer preguntó a Twilio sobre su posible implicación en la presunta brecha de seguridad de Steam, un portavoz de Twilio reconoció la situación y confirmó que están investigando.
Twilio se toma muy en serio estas amenazas y está investigando el presunto incidente. «Proporcionaremos más información a medida que esté disponible», declaró un portavoz de la compañía a BleepingComputer. Twilio emitió posteriormente un comunicado aclarando que los sistemas de la compañía no habían sido vulnerados.
Al analizar los datos, una posible explicación de su origen es una filtración de un proveedor de SMS que intermedia la comunicación de códigos de acceso de un solo uso entre usuarios de Twilio y Steam. Algunos de los mensajes entregados son claramente códigos de confirmación para acceder a una cuenta de Steam o para asociar un número de teléfono a una.
Al margen de que no se pudo comprobar del todo si la información proviene de un proveedor de SMS, cabe mencionar que algunos de los datos son relativamente nuevos, ya que se descubrió que muchas de las fechas de entrega datan de principios de marzo.
Una vez más, nada de esto realmente importa ya que los números de teléfono de dichas cuentas no sirven de nada a ningún hacker debido a que los mismos no están acompañados de ningún dato complementario, ya sea nombre de usuario, contraseña, información de pago ni ningún otro dato personal que pueda comprometer la seguridad de la cuenta.
Acerca de Steam
Steam es el mejor lugar para jugar en PC, Mac y Linux, hablar sobre juegos y crearlos. Con casi 30.000 juegos publicados; desde grandes compañías hasta estudios independientes pasando por todo lo intermedio. Disfruta de ofertas exclusivas, actualizaciones automáticas y otras grandes ventajas.
- Únete a la comunidad – ¡Conoce nuevas personas, únete a grupos, forma clanes, chatea mientras juegas y mucho más! Con más de 100 millones de posibles amigos (o enemigos), la diversión nunca termina.
- Descubre el hardware de Steam – Creamos Steam Deck y el visor de Valve Index para que jugar en PC sea aún mejor.
- Lanza tu juego – Steamworks es un conjunto de herramientas y servicios que ayuda a desarrolladores y editores a sacar el máximo partido a la distribución de juegos.
Características principales:
- Chat – Habla con amigos o grupos por mensajes de texto o voz sin salir de Steam. Soporta vídeos, tuits, GIFs y mucho más.
- Puntos de encuentro – Todo sobre tu juego en un solo lugar. Únete a conversaciones, sube contenido y sé el primero en informarte de nuevas actualizaciones.
- Retransmisión – Retransmite tu partida en directo con solo hacer clic en un botón y compártela con amigos o con el resto de la comunidad.
- Workshop – Crea, descubre y descarga mods y objetos cosméticos generados por la comunidad para más de 1000 juegos.
- Disponible para dispositivos móviles – Accede a la plataforma en cualquier lugar desde tu dispositivo iOS o Android con la aplicación Mobile.
Acceso anticipado a juegos – Descubre, juega e involúcrate con juegos mientras progresan. Sé el primero en obtener información sobre las próximas novedades y en formar parte del proceso. - Plurilingüe – Crear una comunidad global es importante para nosotros, por eso nuestro cliente admite 28 idiomas y seguimos sumando.
- Compras simplificadas – Nuestra tienda admite más de 100 métodos de pago en más de 35 monedas, lo que te da la flexibilidad de pagar como tú quieras.
- Compatibilidad con mandos – Valve alienta a los desarrolladores a que incluyan soporte para mandos en sus juegos, incluidos los mandos de PlayStation, Xbox y Nintendo.
- Y mucho más – Obtén logros, lee reseñas, explora recomendaciones personalizadas y mucho más.
