El domingo pasado Steam, el sistema de distribución de juegos más popular de la Web sufrió un ataque que afectó a su sección de foros. En un principio, se creyó que las consecuencias del mismo no habían ido más allá, pero Gabe Newell, una de las mentes maestras más reconocidas de Valve, envió un mensaje en el cual explica que los invasores lograron acceso a una base de datos con nombres de usuario, contraseñas, y elementos aún más sensibles como direcciones e “información” sobre tarjetas de crédito. Si bien los números de las tarjetas no parecen haber sido comprometidos y Steam sigue en línea, Valve se encuentra trabajando para evaluar el daño.
No parece ser un buen momento para estar en la Web, o al menos, para aquellos que disfrutan de comprar juegos en línea vía Steam. Su posición en el mercado de distribución digital es formidable, y por esa razón, la noticia de un ataque resulta de relevancia para millones de usuarios. El pasado 6 de novimebre, los foros de Steam fueron vulnerados, y como precaución, Valve los ha mantenido cerrados desde entonces. Acceder a los nombres de usuario y contraseñas de un foro no parece ser algo tan crítico a simple vista, pero de acuerdo a un mensaje publicado por Gabe Newell, la situación es mucho más seria. Aparentemente, además de obtener acceso a los foros, los atacantes lograron lo mismo con una importante base de datos.
Dentro de la base se encontraban nombres de usuario, contraseñas “hashed” y “salted”, compras realizadas, direcciones de correo, direcciones físicas e información sobre tarjetas de crédito. Este último campo se encontraba cifrado, y según el mismo Newell no hay evidencia hasta ahora de que los números de las tarjetas registradas hayan sido comprometidos, por lo que se puede asumir que su cifrado sigue en pie. El sistema no ha registrado operaciones extrañas o compras masivas, pero se insta a los usuarios a que vigilen muy de cerca el estado de sus tarjetas. Al mismo tiempo, se recomienda cambiar las contraseñas tanto de Steam como de los foros (cuando se encuentren en línea), al igual que desautorizar y reautorizar a cualquier ordenador asociado.
Esto cae como agua helada sobre las cabezas tanto de los usuarios como de Valve. En marzo pasado se había lanzado Steam Guard, que permitía acceso a un usuario solamente desde ordenadores autorizados. Para demostrar las capacidades de Steam Guard, Gabe Newell entregó su nombre de usuario y su contraseña, y hasta ahora nadie ha hackeado su cuenta personal, pero el reciente ataque se inició por un vector completamente diferente. Steam se encuentra funcionando en este mismo instante, por lo que no hay que pensar en una caída al estilo de la PSN, pero Valve deberá trabajar intensamente en reforzar su seguridad, e incluso en pensar alguna compensación, algo que ya hecho en el pasado.
