Hace pocos días, la cuenta Underdark publicó en LinkedIn que datos de más de 89 millones de cuentas de Steam habían sido expuestos, pero que no se trataba de una violación directa de los servidores de Valve, sino a un posible proveedor de servicios de SMS (similar a lo ya ha sucedido en el pasado con Telefónica y/o Movistar).
En la publicación original, Underdark AI afirma haber encontrado una publicación de alguien llamado Machine1337 en un foro de mercado negro de buena reputación, que ofrece vender 89 millones de datos de cuentas de Steam por 5000 dólares.
De ser cierto, el comprador no solo podría tener acceso a la cuenta de cualquier persona que no use 2FA ni cambie su contraseña, sino que también podrá usar los demás datos para enviar mensajes de phishing convincentes a quienes no pueda hackear.
Esto planteó la pregunta: ¿cómo se produjo la filtración? Al momento de escribir esto, no parece que la gente lo sepa realmente. El primer punto de contacto fue la propia Valve, pero esa no parecía ser la fuente.
Inicialmente se acusó a Twilio, afirmando que esta gestiona los sistemas de doble factor (o autenticación de dos factores, llamado 2FA) de Steam y que la filtración se produjo desde dentro de sus sistemas, pero Valve se puso en contacto con MellowOnline1 y afirmó que nunca había usado Twilio.
Twilio es una empresa de comunicaciones en la nube que proporciona una API para el envío de SMS, llamadas de voz y mensajes de doble factor (2FA), ampliamente utilizadas por aplicaciones para la autenticación de usuarios, pero Valve dejó en claro que no utiliza Twilio.
Cuando BleepingComputer preguntó a Twilio sobre su posible implicación en la presunta brecha de seguridad de Steam, un portavoz de Twilio reconoció la situación y confirmó que están investigando.
Twilio se toma muy en serio estas amenazas y está investigando el presunto incidente. «Proporcionaremos más información a medida que esté disponible», declaró un portavoz de la compañía a BleepingComputer. Twilio emitió posteriormente un comunicado aclarando que los sistemas de la compañía no habían sido vulnerados.
«No hay pruebas que sugieran que Twilio haya sido vulnerado. Hemos revisado una muestra de los datos encontrados en línea y no vemos indicios de que estos datos se hayan obtenido de Twilio.»
Al analizar los datos, una posible explicación de su origen es una filtración de un proveedor de SMS que intermedia la comunicación de códigos de acceso de un solo uso entre usuarios de Twilio y Steam. Si bien los datos filtrados
Algunos de los mensajes entregados son claramente códigos de confirmación para acceder a una cuenta de Steam o para asociar un número de teléfono a una. Al margen de que no se pudo comprobar del todo si la información proviene de un proveedor de SMS, cabe mencionar que algunos de los datos son relativamente nuevos, ya que se descubrió que muchas de las fechas de entrega datan de principios de marzo.
Por más que el hacker -teóricamente- no tenga los datos de las cuentas de Steam (su nombre de usuario y/o contraseña), la violación de datos sigue siendo peligrosa por dos motivos según MellowOnline1 (creador del grupo comunitario SteamSentinels que monitorea el abuso y el fraude en el ecosistema Steam):
- Phishing: Los hackers podrían usar la información para enviar mensajes falsos pero convincentes a los usuarios.
- Secuestro de sesión: Si los atacantes logran interceptar o reproducir códigos de 2FA, podrían eludir la protección de inicio de sesión.
Quienes tengan activada la verificación de dos pasos (lo que Valve llama «Steam Guard») no deberían tener problemas, ya que la filtración no contiene información que pueda permitir que un hacker la descifre. Eso sí, si están usando SMS como método de autenticación, es sumamente recomendable dejar de usarlo y usar Steam Guard que es lo más seguro.
La investigación lógicamente continuará y tarde o temprano se sabrá que el ataque el supuesto hacker que pide tan solo US $5000 por datos de 89 millones de cuentas de Steam es efectivamente real, o no. Ante la duda, cambiar el password no está de más si no lo han hecho recientemente.
Acerca de Steam
Steam es el mejor lugar para jugar en PC, Mac y Linux, hablar sobre juegos y crearlos. Con casi 30.000 juegos publicados; desde grandes compañías hasta estudios independientes pasando por todo lo intermedio. Disfruta de ofertas exclusivas, actualizaciones automáticas y otras grandes ventajas.
- Únete a la comunidad – ¡Conoce nuevas personas, únete a grupos, forma clanes, chatea mientras juegas y mucho más! Con más de 100 millones de posibles amigos (o enemigos), la diversión nunca termina.
- Descubre el hardware de Steam – Creamos Steam Deck y el visor de Valve Index para que jugar en PC sea aún mejor.
- Lanza tu juego – Steamworks es un conjunto de herramientas y servicios que ayuda a desarrolladores y editores a sacar el máximo partido a la distribución de juegos.
Características principales:
- Chat – Habla con amigos o grupos por mensajes de texto o voz sin salir de Steam. Soporta vídeos, tuits, GIFs y mucho más.
- Puntos de encuentro – Todo sobre tu juego en un solo lugar. Únete a conversaciones, sube contenido y sé el primero en informarte de nuevas actualizaciones.
- Retransmisión – Retransmite tu partida en directo con solo hacer clic en un botón y compártela con amigos o con el resto de la comunidad.
- Workshop – Crea, descubre y descarga mods y objetos cosméticos generados por la comunidad para más de 1000 juegos.
- Disponible para dispositivos móviles – Accede a la plataforma en cualquier lugar desde tu dispositivo iOS o Android con la aplicación Mobile.
Acceso anticipado a juegos – Descubre, juega e involúcrate con juegos mientras progresan. Sé el primero en obtener información sobre las próximas novedades y en formar parte del proceso. - Plurilingüe – Crear una comunidad global es importante para nosotros, por eso nuestro cliente admite 28 idiomas y seguimos sumando.
- Compras simplificadas – Nuestra tienda admite más de 100 métodos de pago en más de 35 monedas, lo que te da la flexibilidad de pagar como tú quieras.
- Compatibilidad con mandos – Valve alienta a los desarrolladores a que incluyan soporte para mandos en sus juegos, incluidos los mandos de PlayStation, Xbox y Nintendo.
- Y mucho más – Obtén logros, lee reseñas, explora recomendaciones personalizadas y mucho más.
