CNET también está disponible en español.

Ir a español

Don't show this again

Videojuegos

Fortnite sufrió una brecha de seguridad que dejó cuentas vulnerables a hackers

Una página no segura para Unreal Tournament de 2004 fue la culpable.

fortnite-glidecnet

Investigadores de seguridad encontraron una vulnerabilidad que los piratas informáticos podrían usar para hacerse cargo de las cuentas de Fortnite.

Epic Games

Atención, fanáticos y jugadores de Fortnite: Sus cuentas estuvieron en gran peligro.

Los investigadores de seguridad de Check Point encontraron vulnerabilidades en el sitio Web de Epic Games que permitieron a posibles hackers iniciar sesión en las cuentas Fortnite de los usuarios sin necesidad de una contraseña. Una vez que tuvieron acceso a las cuentas afectadas, los investigadores descubrieron que se podía escuchar las conversaciones de los amigos y usar la información de la tarjeta de crédito de las víctimas para comprar artículos dentro del juego.

Los investigadores descubrieron las vulnerabilidades en noviembre y se solucionaron en enero.

"Fuimos conscientes de las vulnerabilidades y de inmediato fueron abordadas. Agradecemos a Check Point por informarnos de esto. Como siempre, alentamos a los jugadores a proteger sus cuentas al no reutilizar contraseñas y usar contraseñas seguras, y no compartir información de la cuenta con otros", dijo un portavoz de Epic Games. 

Fortnite tuvo un año importante en 2018, con casi 80 millones de jugadores. Su compañía matriz, Epic Games, se anotó ganancias calculadas en US$3,000 millones el año pasado, y se valoró en más de US$15,000 millones. Pero con la gran popularidad del juego llegó también la preocupación por la seguridad.

En agosto, Epic Games reparó una falla de seguridad en su instalador para dispositivos Android, luego de que investigadores de Google revelaran una vulnerabilidad que podría haber engañado a las víctimas para que instalaran una versión falsa del juego. Debido a que el juego es tan popular, los investigadores de seguridad han descubierto que Fortnite es un objetivo importante del malware, con una oleada de aplicaciones falsas que aparecen en línea.

"Comenzamos a escuchar que hubo muchos abusos en la red de Fortnite", dijo Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point. "Esto es más que un juego, es una enorme infraestructura que sirve a 80 millones de jugadores, que son en su mayoría niños".

Epic Games ha intentado abordar los problemas de seguridad alentando a sus jugadores a habilitar la autenticación de dos factores a través de sorteos.

A pesar de las medidas de seguridad de Fortnite durante el año pasado, fue una página de Epic Games de 2004 que creó una pequeña apertura para que los hackers se hicieran cargo de las cuentas de las personas.

Los investigadores de Check Point encontraron una URL no segura de hace más de una década, en ut2004stats.epicgames.com, una página de registro para Unreal Tournament, un juego de acción en primera persona que Epic Games desarrolló por primera vez en 1998.

La página, que desde entonces se ha desactivado, era vulnerable a ataques de scripts entre sitios (cuando alguien inyecta código malicioso en un sitio Web). Los investigadores escribieron el código y lo inyectaron en la página Web para redirigir los tokens de acceso a los servidores de Check Point en lugar de los de Epic Game.

Piensa en los tokens de acceso como contraseñas externas de autenticación: son códigos generados por plataformas para mantenerte conectado y así no tengas que iniciar sesión cada vez que visites una página. Cuando los piratas informáticos robaron información personal de 29 millones de personas en Facebook, utilizaron tokens de acceso para hacerlo. La vulnerabilidad de Fortnite aprovecha las muchas maneras en que puedes iniciar sesión en tu cuenta de Epic Games, usando tokens de acceso de las cuentas de Facebook, Google y Xbox.

El atacante tendría que enviar el enlace de phishing en la plataforma desde la que la víctima inicia sesión en Fortnite, por lo que si vinculabas tu cuenta de Epic Games con Facebook, el hack tendría que pasar por la red social, dijo Eran Vaknin, un investigador de seguridad de Check Point.

Una vez que haces clic en el enlace, se extraen esos datos, incluso si la víctima no escribe nada.

"El ataque está ocurriendo automáticamente sin ninguna interferencia del usuario", dijo Vaknin.

Debido a que la página afectada tenía una URL de Epic Games, parecería menos sospechosa para las víctimas, dijo Vanunu. Es similar a una vulnerabilidad que los investigadores de Check Point descubrieron con las cuentas de los drones de DJI en marzo pasado, que la compañía reparó en septiembre.

En esa vulnerabilidad, Vanunu también pudo inyectar código malicioso en la propia página de dominio de DJI para robar tokens de acceso.

"Incluso si tienes un producto de seguridad anti-phishing, no lo detectaría porque proviene de un dominio legítimo", dijo Check Point.

Advirtió que a medida que las personas se vuelven más conscientes de los ataques de phishing y más cuidadosos al escribir las contraseñas en las páginas sospechosas, los piratas informáticos estarían dirigiéndose a los tokens de acceso. Vanunu recomendó habilitar la autenticación de dos factores para proteger tus cuentas, algo que Epic Games también está promoviendo activamente.