A principios de abril la cuenta de Twitter de Nintendo recomendaba a los usuarios activar la verificación en dos pasos. Lo que en un principio parecía una recomendación común, tenía detrás algo más grande: cientos de miles de cuentas hackeadas. Tras una investigación más profunda Nintendo ha confirmado lo que ya parece la cifra definitiva: aproximadamente 300.000 cuentas hackeadas de las que se obtuvo nombre, correo electrónico y fechas de nacimiento entre otros.
Lo cierto es que Nintendo hizo oficial este hackeo a finales de abril, cuando anunció que habían podido comprobar la vulneración de alrededor de 160.000 cuentas de Nintendo. En ese momento decidieron paralizar el acceso mediante NNID (Nintendo Network ID), un sistema antiguo de la plataforma que se usaba en consolas como la 3DS o la Wii U. mediante este hackeo algunas cuentas vieron cómo se habían comprado ítems digitales sin el consentimiento de los usuarios.
Ahora a esos 160.000 usuarios se les suma 140.000 más, según ha actualizado Nintendo en su declaración oficial. Dicen que el aumento llega después de que hayan investigado con más profundidad el caso. Aclaran que se trata de menos del 1% de las cuentas de Nintendo a nivel global. Pero claro, 300.000 cuentas siguen siendo 300.000 cuentas.
A pesar de todo, Nintendo no ha querido dejar claro cómo consiguieron los atacantes acceder a las cuentas de los usuarios. Sólo comentan que tuvieron acceso a las contraseñas "obtenida ilegalmente de fuera de nuestro servicio". En otras palabras, parece ser que se debe al uso de contraseñas idénticas en varias plataformas y que los datos provienen de algún hackeo previo a otra plataforma.
Contraseñas reseteadas, reembolsos y verificación en dos pasos
¿Qué ha hecho Nintendo para remediarlo? De primeras restablecer las contraseñas de todas aquellas cuentas que se han visto afectadas. Los usuarios han recibido o recibirán un correo electrónico notificándoles de ello. Por otra parte han cancelado el inicio de sesión mediante NNID.
Nintendo avisa de que en algunos casos se ha podido acceder a información como la tarjeta de crédito o PayPal utilizado para hacer compras en My Nintendo Store. En tales casos indican que están cancelando las compras no autorizadas y reembolsando a los afectados.
Finalmente, la compañía recomienda restablecer las contraseñas y activar la verificación en dos pasos para todos los usuarios. La verificación en dos pasos implica que para iniciar sesión un usuario debe poner su contraseña y también un código único y temporal que se le envía a un dispositivo secundario.
Este hackeo pone en manifiesto una vez más la importancia de no reutilizar contraseñas para varios servicios y cómo de útil puede ser la verificación en múltiples factores (más que en dos pasos). Para esto, nada mejor que utilizar un gestor de contraseñas lo suficientemente seguro y versátil que permita generar contraseñas útiles o incluso servir como autenticación para doble factor. O, si te aventuras, utilizar trucos para crear y memorizar contraseñas complejas sin ninguna herramienta.
Vía | Engadget
Más información | Nintendo Support (japonés)
Ver 5 comentarios