Logo de Steam.
La filtración de casi 100 millones de cuentas de Steam es oficial: Valve lo confirma, pero niega haber sufrido un 'hackeo'
La desarrolladora detrás de la plataforma de compra-venta de juegos más usada ha quitado importancia al asunto, y afirma que no es necesario cambiar contraseñas.
Más información: Disney fulmina Slack: deja de usarlo para trabajar tras la filtración masiva de mensajes y documentos de empleados
Las últimas horas han sido extrañas para Valve, la desarrolladora encargada de la plataforma Steam. En un contexto donde las filtraciones de datos son ya una cosa habitual tanto en España como en el resto del mundo, determinadas fuentes aseguraron que un hacker puso a la venta en un foro de la Dark Web datos de 89 millones de cuentas de la plataforma, en una oferta por 5.000 dólares. Después de la confirmación y desmentido de varios datos, Valve ha salido a la palestra asegurando que efectivamente, la filtración es real. Eso sí, matizan; no ha habido brecha de datos.
Underdark AI, una entidad dedicada a la inteligencia de amenazas enlice y periodistas basados en videojuegos dieron la voz de alarma sobre un usuario llamado "Machine1337", que había estado vendiendo una gran cantidad de texto sobre cuentas de Steam. En total, estos datos contenían números de teléfono, metadatos de texto e incluso algunos códigos de autenticación de dos factores antiguos. Se desconocía el resto; no se sabía si siquiera el hecho era real. Valve ha afirmado que la filtración de datos sí se ha producido, pero que no ha sido a través de una vulneración de los sistemas de Steam.
Tal y como confirma la propia Valve en un comunicado al medio XDA Developers, desde la compañía examinaron la muestra filtrada y determinaron que de ninguna forma se trataba de una vulneración de los sistemas de la plataforma Steam. "Todavía estamos investigando el origen de la filtración, que se agrava por el hecho de que todos los mensajes SMS no están cifrados en tránsito y se enrutan a través de múltiples proveedores de camino a su teléfono".
Valve confirma la filtración
La empresa de Gabe Newell ha dado detalles verificados sobre la propia naturaleza de esta filtración. Explican que esta se dio por mensajes de texto antiguos que incluían códigos de un solo uso válidos, que realmente no sirven para mucho ya que solo son válidos por apenas 15 minutos. También se incluían los números de teléfono a los que se enviaron. Cabe recalcar que ni estos códigos ni estos teléfonos estaban asociados con cuentas de Steam, contraseñas ni otros datos personales.
"Los mensajes de texto antiguos no pueden usarse para atacar la seguridad de tu cuenta de Steam, y siempre que uses un código para cambiar tu correo o contraseña de Steam por SMS, recibirás una confirmación por correo electrónico o mensajes seguros de Steam", expone Valve. En definitiva, que la cantidad de datos filtrados no es siquiera usable para realizar un posible ataque que comprometa las cuentas afectadas.
Logo de Steam Omicrono
¿Cuáles son entonces las recomendaciones a seguir por parte de Valve? Realmente, solo recomiendan configurar el sistema Steam Guard y el método de autenticación en dos factores Steam Mobile Authenticator; a sus ojos, no es necesario cambiar ni las contraseñas ni los números de teléfono. "Es un buen recordatorio para tratar como sospechoso cualquier mensaje de seguridad de la cuenta que no se haya solicitado explícitamente", apostillan en su comunicado.
Si bien es cierto que los códigos filtrados eran antiguos y no servían para nada, esta filtración planteaba una cuestión bastante problemática: quién había perpetrado esta filtración y cómo se había llevado a cabo. Los datos eran difusos; se habló de una brecha en Twilio, lo que llevó a Valve a confirmar que no habían usado estos servicios. Además, Twilio no había sufrido filtración alguna. La propia Valve deja claro que esta situación no implica riesgo alguno para el usuario final.
Sin embargo, solo se ha desmentido la idea de que Valve haya sufrido esta filtración, y queda la incógnita sobre el origen de la misma. El problema es que los mensajes SMS, tal y como relata Valve, pasan por muchos intermediarios antes de llegar a los móviles de los usuarios. Revisar exactamente cuál ha sido el punto en el que los datos han salido a la luz conllevaría un proceso de investigación muy exhaustivo que no merece la pena, dadas las escasas consecuencias de esta situación.
