foto de archivo, PeterPhoto123.
foto de archivo, PeterPhoto123.

Los jugadores deben tener cuidado: sus cuentas en línea podrían ser fáciles de elegir para los piratas informáticos.

A finales de agosto, miles de personas que jugaron el popular título online de Riot Games "League of Legends" se enteró de que sus datos habían sido robados. Los piratas informáticos accedieron a las cuentas en línea de los jugadores, obteniendo nombres, direcciones de correo electrónico y números de tarjetas de crédito.

Solo dos semanas antes del ataque, la compañía de juegos Crytek cerró sus sitios web y suspendió temporalmente las cuentas de sus miembros. Crytek no ejecuta ningún juego en línea, pero los fanáticos pueden crear cuentas de usuario en el sitio web para acceder a foros y actualizaciones de noticias. Parece que los piratas informáticos adquirieron datos de inicio de sesión en los sistemas de Crytek que les permitieron robar la información personal de los miembros.

Y en junio, las empresas de juegos Ubisoft, Konami, Club Nintendo y Bohemia Interactive vieron ataques similares.

MÁS: 10 mejores juegos móviles para jugadores incondicionales

Eso hace que al menos seis grandes compañías de juegos cuya información de cuenta de los usuarios se haya visto comprometida en tres meses. ¿Es esta una tendencia? Derek Tumulak de la empresa de seguridad de datos Vormetric dice que sí.

Eso no significa que el mismo grupo esté detrás de todos estos ataques. Más bien, argumentó Tumulak, la erupción de violaciones de seguridad muestra que las empresas de juegos no se toman la seguridad lo suficientemente en serio.

"Las empresas de juegos no están pensando en la seguridad", dijo Tumulak a Tom's Guide. "Están pensando en la experiencia de juego. La seguridad es más una ocurrencia tardía ".

Las empresas de juegos no son las únicas culpables de tal supervisión. Sin embargo, en general, otros tipos de empresas han mejorado mucho en la actualización de la seguridad de sus datos.

"Las organizaciones financieras finalmente se han vuelto más serias [sobre la seguridad] recientemente", dijo Tumulak. "También se centraron principalmente en la seguridad de la red. La seguridad centrada en datos fue una ocurrencia tardía. Pero eso ha cambiado en los últimos años ".

Dada la avalancha de robos a sitios web de empresas de videojuegos de alto perfil, parece que este sector sin duda podría beneficiarse de algunas lecciones básicas de seguridad.

Cómo hackear una contraseña

Tumulak especificó que muchas de estas empresas tienen una fuerte seguridad perimetral, lo que significa que es muy difícil romper los firewalls, el cifrado y otros sistemas defensivos. Sin embargo, la seguridad de sus datos es débil, lo que significa que es bastante fácil para los atacantes malintencionados adquirir un nombre de usuario y contraseña y luego ingresar al sistema sin realmente "atacar" nada. Es la diferencia entre derribar una puerta y entrar con una llave robada.

Una de las formas en que los atacantes adquieren nombres de usuario y contraseñas es mediante el phishing o engañando a las personas para que revelen la información de su cuenta a través de correos electrónicos y sitios web que parecen auténticos. Por ejemplo, es posible que reciba un correo electrónico de una dirección de apariencia oficial, pero en un examen más detenido, algunas letras están apagadas.

El phishing no es un ataque tecnológicamente sofisticado, pero si los atacantes pueden hacer que el cebo se vea lo suficientemente bien, es inevitable que algunas personas crédulos muerdan.

Los piratas informáticos que irrumpieron en los sistemas de Ubisoft lograron esto al robar las credenciales de inicio de sesión de un empleado, confirmó la compañía en una publicación de blog. Esto sugiere que se utilizó un ataque de phishing.

Otra técnica para adquirir nombres de usuario y contraseñas se llama ataque de fuerza bruta. Esto también es bastante sencillo: los atacantes utilizan un tipo de programa que intenta adivinar una combinación correcta de nombre de usuario / contraseña probando todas las combinaciones posibles de letras y números.

Violación de seguridad del Club Nintendo parece deberse a un ataque de fuerza bruta: en el espacio de un mes, el sitio web registró 15,5 millones de intentos de inicio de sesión, un gran aumento con respecto a sus números habituales. De estos intentos, 23,926 iniciaron sesión correctamente.

"Lo que quizás sea más alarmante es el tiempo que el sitio web del Club Nintendo estuvo siendo bombardeado por intentos de ingresar a las cuentas de los clientes", observó el experto en seguridad y bloguero. Graham Cluley en su blog.

"Es difícil imaginar que un ataque sostenido como ese podría haber pasado desapercibido durante casi un mes y sugiere una mala administración por parte del equipo de seguridad de Nintendo".

La declaración de Konami con respecto a la violación de seguridad sugirió que las identificaciones y contraseñas de sus usuarios fueron filtradas por un proveedor de servicios externo, pero también admitió que habían visto un gran aumento en los intentos de inicio de sesión fallidos entre el 13 de junio y el 7 de julio, lo que sugiere que también fueron golpeados con un ataque de fuerza bruta.

Maneras fáciles de protegerse contra ataques

Una forma en que las empresas pueden protegerse contra los ataques de fuerza bruta es monitorear de cerca el número de intentos de inicio de sesión en un sitio web determinado. Si los administradores del sitio ven un aumento repentino en los intentos fallidos de inicio de sesión, es probable que se encuentren en medio de un ataque de fuerza bruta.

La verificación de dos factores también agrega una fuerte capa de protección a cualquier sistema. Cuando se implementa la verificación de dos factores, las personas que inician sesión con un nombre de usuario y contraseña se le pide que ingrese un código generado aleatoriamente que se envía por mensaje de texto al teléfono celular asociado con el nombre de usuario cuenta. De esa manera, el mero phishing de nombres de usuario y contraseñas no es suficiente para comprometer una cuenta.

MÁS: Cómo activar la verificación en dos pasos

Tumulak también sugiere que las empresas de juegos también deberían evitar otorgar a cualquier titular de cuenta, incluso a los administradores, demasiado poder dentro del sistema. De esa manera, incluso si los piratas informáticos comprometen una cuenta de alto nivel, aún están limitados en la cantidad de daño que pueden hacer.

"Como administrador del sistema, necesito poder hacer mi trabajo", dijo Tumulak. "¿Pero realmente necesito acceder a los datos de otros usuarios [como direcciones de correo electrónico y tarjetas de crédito]? Esa respuesta suele ser no ".

Sin embargo, la culpa no es del todo de las empresas de juegos. Mucha gente piensa que la seguridad de sus cuentas de juegos en línea no es muy importante, especialmente si las cuentas no tienen datos de tarjetas de crédito asociados. Pero las contraseñas cortas y simples son las primeras en caer en un ataque de fuerza bruta.

Además, los piratas informáticos aún pueden usar la información obtenida de los sitios de juegos para ingresar a cuentas aún más importantes. Por ejemplo, los sitios de juegos almacenan los nombres de los usuarios y las direcciones de correo electrónico, que podrían usarse para crear mejores estafas de phishing para cuentas bancarias o de comercio electrónico.

Además, si usa la misma contraseña, o variantes de la misma contraseña, en todas sus cuentas, entonces Los piratas informáticos podrían usar la contraseña adquirida al piratear un sitio de juegos para ingresar a sus más importantes cuentas.

"El listón ha sido bajo [en términos de seguridad] en estas empresas de juegos", dijo Tumulak. "Es fácil ingresar, obtener esa información [sensible], salir y usar esa información de una manera más valiosa más adelante".

Correo electrónico [email protected] o seguirla @JillScharr. Síguenos @TomsGuide, en Facebook y en Google+.

  •  Reseña Lost Planet 3
  • Los videojuegos causan agresión, según estos estudios
  • 13 consejos de privacidad y seguridad para los verdaderamente paranoicos