20/05/2024
El robo de cuentas es una lacra que, debido a las meteduras de pata de seguridad de empresas grandes como Sony, Adobe e incluso Valve (un par de veces), cualquier tipo sin escrúpulos puede aprovechar para ir pacientemente probando credenciales robadas en todas las páginas y plataformas que se nos ocurran. Lo mejor es activar la autenticación de dos pasos, que a la contraseña añade un código generado por una aplicación móvil o enviado por correo o SMS. Se hace mucho más complicado robar una cuenta protegida así.

Esto, más que una noticia, es lo que en inglés se llama un Public Service Announcement. Un anuncio de utilidad pública sobre la costumbre que tienen los ladrones de cuentas de ponerse a trabajar en momentos de rebajas, regalos y lanzamientos de juegos y expansiones.

Las cuentas sin protección en dos pasos no están protegidas en realidad.
Los amigos de lo ajeno más vagos utilizan las bases de datos de credenciales robadas para quedarse con tu cuenta.

Una de las bases de datos de contraseñas robadas más utilizadas es la de Adobe, cuya intrusión tuvo lugar el 3 de octubre del año pasado. Más de 38 millones de usuarios y contraseñas en claro fueron robadas del sitio de Adobe y, desde entonces, han sido probadas meticulosamente en muchos otros sitios para comprobar si eres de los que usan la misma contraseña para todo.

Ahora viene mi experiencia personal en las últimas semanas para que veas dónde están dando más la lata los ladrones de cuentas. La semana pasada mi cuenta de Origin —que ahora mismo tiene unas rebajas muy sustanciosas y es la plataforma del lanzamiento más grande de Electronic Arts en este trimestre: Dragon Age Inquisition— fue secuestrada a medias. Digo a medias porque aunque me cambiaron la contraseña y, extrañamente, podía entrar a resetearla, el ladrón de mi cuenta, seguramente decepcionado por los cuatro juegos y medio que tengo en Origin, no se paró a desvincular mi usuario de PSN.

Así la recuperé, entré con las credenciales de Sony y activé la autenticación de dos pasos con un código que se te envía al correo cada vez que quieres modificar algo de tu perfil, incluyendo la contraseña. Cuenta recuperada. Como Origin guarda la información de pago si así lo has configurado, hay que tener el triple de cuidado con ella.

Ayer mismo me llega un correo de ArenaNet —creadores de la saga Guild Wars— diciéndome que mi cuenta tiene una actividad inusual y que será dada de baja en 72 horas. Después de revisar varias veces que fuera un correo legítimo, porque hay mucho gato por liebre en el mundo de las alertas de seguridad de los MMOs, entré en mi cuenta escribiendo directamente la dirección en mi navegador (¡nunca pinches en uno de esos correos!) y efectivamente me pedían que cambiase inmediatamente la contraseña. Lo hice y, una vez más activé la seguridad en dos pasos, esta vez con una aplicación para el móvil (para entendernos, como el Battle.net Mobile Authenticator).

En conclusión, protege todas tus cuentas con autenticación de dos pasos y ten mucho cuidado en estas épocas de rebajas, actualizaciones, lanzamientos, porque siempre hay amigos de lo ajeno deseando quedarse con tus personajes, tus juegos y tu dinero. Las inminentes rebajas de Steam son más seguras: el pesadísimo SteamGuard tiene la ventaja oculta de que es obligatorio.