Las principales desarrolladoras de videojuegos cuentan hoy en día con plataformas que permiten a los usuarios navegar por toda su biblioteca, comprar y descargar juegos y además poder estar en contacto con sus amigos y conocidos. Estas plataformas normalmente suelen ser seguras y proteger la información de los usuarios con conexiones cifradas entre el cliente y el servidor. Sin embargo, en ocasiones un fallo de seguridad puede poner en peligro la integridad de todos estos usuarios, como ha ocurrido con Origin, el cliente de EA.

EA es la segunda desarrolladora más grande de Estados Unidos, conocida sobre todo por los juegos de deportes, como el FIFA o en NBA. Origin es el cliente que esta desarrolladora ofrece a los usuarios para poder acceder a todos sus juegos, descargarlos y poder jugar legalmente a través de Internet.

Para el inicio de sesión, esta aplicación hace uso de sistemas OAuth Single Sign-On con mecanismos de autenticación avanzados. Sin embargo, un fallo en este sistema de autenticación ha puesto en peligro las más de 300 millones de cuentas de los usuarios que utilizan esta tienda de videojuegos.

Un simple enlace puede permitir a un hacker tomar el control de tu cuenta de EA Origin

Este fallo de seguridad se debe principalmente a que uno de los subdominios de EA, concretamente eaplayinvite.ea.com, estaba redirigiendo automáticamente a otro dominio, ea-invite-reg.azurewebsites.net, el cual no existe hoy en día y había sido abandonado por EA. Seguramente este dominio fue utilizado en el pasado para alguna promoción y, al acabarla, se olvidaron de cancelar la redirección y borrarlo.

Los investigadores de seguridad de Check Point y CyberInt, que han sido quienes han detectado este problema de seguridad, consiguieron registrar de forma gratuita ese dominio en Azure, la nube de Microsoft, y utilizarlo para montar un sistema que permitiera el robo de cuentas.

Con el dominio bajo su control, los investigadores pudieron analizar con más detalle cómo funcionaba el sistema de inicio de sesión seguro de EA para poder intentar suplantarlo. Aunque la mayoría de los dominios tenían medidas de seguridad extra que no permitía la redirección, uno de los dominios, signin.ea.com, permitía el uso del parámetro «redirectback», lo que permitía reenviar a los jugadores al sistema de autenticación creado por los investigadores con el token de acceso a la cuenta con la sesión iniciada.

De esta manera, los investigadores (o un pirata informático que se hubiera dado cuenta antes del error) podían tener el control absoluto de cualquier cuenta, desde robar y cambiar el ID de la víctima hasta comprar cualquier juego con los datos de pago guardados en la plataforma.

Cómo protegernos de este fallo de seguridad y proteger nuestra cuenta de EA Origin

EA ya es consciente de este fallo de seguridad, aunque de momento no ha hecho declaraciones sobre si lo ha solucionado o cuándo lo hará.

Por el momento, las únicas formas de protegernos de este fallo de seguridad es habilitar la doble autenticación para el inicio de sesión (algo que todos deberíamos tener en las webs que lo permitan) y, además, asegurarnos de no entrar nunca a enlaces que encontremos en el correo o en las redes sociales; hacer compras y descargar juegos únicamente desde el enlace de la tienda oficial de EA.

 

 

 

Hacer Comentario

Su dirección de correo electrónico no será publicada.