Continúan los fraudes a cuentas en Xbox
Como cada año de la época actual, en el anterior se suscitaron numerosos casos de ataques digitales a sitios y servicios a través de todo Internet, la diferencia es que hubo un gran reporte de casos relacionados a la industria de los videojuegos, incluida la tan publicitada caída de PlayStation Network. La tendencia continúa, y los medios para efectuar tales violaciones de seguridad se diversifican, a principios de este mes reportamos acerca de la pesadilla que vivió Susan Taylor, pero al parecer no fue una situación aislada y adicional a la problemática con FIFA 12, el fenómeno de cuentas comprometidas de Xbox LIVE parece ser cada más frecuente.
De frente a las acusaciones, Microsoft ha negado en reiteradas ocasiones que Xbox.com carezca de seguridad y mucho menos sea la causa del robo de perfiles, a lo que un vocero de la compañía afirma: “la seguridad para nuestros miembros [de Xbox LIVE] es de máxima importancia, por lo que estamos trabajando constantemente para repeler las siempre cambiantes amenazas; pero la seguridad en la industria de la tecnología es un proceso en curso, y con cada recurso para detener ataques, los hackers intentan nuevos métodos”. Al margen de los hechos, la firma de Bill Gates asegura: “no hay un agujero en Xbox.com que esté siendo usado por los perpetradores, es un simple caso de fuerza bruta, y eso es algo que enfrenta la industria en conjunto”. Además, declara que el problema se encuentra del lado de los usuarios, quienes son víctimas de engaños, software maligno u otros métodos fraudulentos.
Un gran número de testimonios expresan que es más complicado, y que el sitio oficial de Xbox ha sido víctima de un ataque a gran escala, pero no existían evidencias que lo confirmaran, hasta ahora, aunque la realidad parece ser diferente a lo que se pensaba y confirma que Microsoft, también tenía razón.
Aquí el eje del problema
Hace unos días, el ingeniero en infraestructura de redes Jason Coutee descubrió que el sitio de Xbox permitía intentos infinitos de acceso, solicitando unicamente un código Captcha (en el que se genera una imagen con caracteres alfanuméricos aleatorios) por cada ocho intentos erróneos; la falla de seguridad se daba cuando tras el mensaje de error, sólo bastaba con dar clic en una liga para tratar de identificarse con una cuenta diferente de Windows Live ID, y volver a intentar de nuevo todo el proceso con la misma dirección de correo. Coutee se percató que no hacía falta más de una partida en línea –que en su caso fue Halo: Reach– para recoger algunos gamertags de sus oponentes, hacer una búsqueda rápida en Google para encontrar las direcciones de correo asociadas, y comenzar los intentos por violar la contraseña. Otro inconveniente es que los hackers pueden reconocer fácilmente si una cuenta es válida, ya que al intentar acceder e insertar una clave equivocada, el sistema señala si la contraseña es incorrecta o el correo inexistente. Con estas herramientas circunstanciales, es cuestión de que los intrusos utilicen software automatizado hasta descifrar la contraseña, sin impedimentos que los detengan tras un determinado número de intentos.
Así es como al final de la jornada, las dos partes tenemos responsabilidad en el asunto, usuarios por no tomar las medidas de seguridad necesaria o hacer caso omiso a los consejos para proteger mejor nuestras cuentas, y Microsoft por ciertas deficiencias en su sistema de autentificación. Al día de hoy y en referencia a lo evidenciado por Coutee, en el sitio de Xbox, después de intentar autentificarse veinte veces, el servidor deja de responder, por lo que parece que la seguridad se incrementó, aunque todavía quedan agujeros pendientes de cubrirse.
Por último y para disolver cualquier malentendido, Microsoft argumenta que no le ha dado seguimiento público porque siguen tratándose de casos aislados y no un fenómeno que afecte a toda la comunidad en conjunto, y si no se han dado reportes explicando cada paso en la protección de las cuentas, es: “para evitar que los estafadores tengan más información de nuestros procesos o la arquitectura del sistema, y se enteren de qué sectores son mejores para concentrar sus ataques”.
