Mike O’Brien nos habla sobre la seguridad de las cuentas

por Mike O'Brien el 21 de septiembre de 2012

Me gustaría dedicar unos minutos a hablar sobre la seguridad de las cuentas: qué puedes hacer para que tu cuenta esté a salvo y qué hacemos nosotros para mantener la seguridad de tu cuenta.

Si tienes que quedarte con algo de esta entrada del blog, que sea esto: en el entorno de seguridad actual, debes utilizar una contraseña única para cada cuenta que te importe. Si tu contraseña actual de Guild Wars 2 es la misma que utilizas en otros sitios, cámbiala inmediatamente y elige una contraseña nueva y única.

Cómo roban cuentas los hackers

La mayoría de los consejos de seguridad que todos hemos visto a lo largo de los años se centraban en cómo elegir una contraseña segura. Por lo tanto, podríamos pensar que el principal método que tienen los hackers para acceder a las cuentas es aprovechar las cuentas con contraseñas débiles, tal vez escaneando todas las palabras del diccionario en busca de coincidencias. Sin embargo, este no suele ser el caso.

La realidad es otra: los hackers roban cuentas de juego porque ya conocen el nombre de cuenta y la contraseña. Los conocen porque los robaron (vulnerando la seguridad o utilizando software espía) en otro juego o en el sitio donde la persona utilizó el mismo nombre de cuenta y contraseña.

Así que, por desgracia, si la lección que has aprendido de los consejos de seguridad a lo largo de los años es que debes elegir una contraseña complicada única, memorizarla y luego usarla en todas partes, eso es justo lo que no debes hacer para el entorno de seguridad actual. Si quieres preservar la seguridad de las cuentas en diferentes sitios actualmente, debes utilizar una contraseña exclusiva para cada cuenta.

En ArenaNet tenemos cierta capacidad para ver los intentos de pirateo en directo, y hemos visto algunos realmente asombrosos. Observamos a los hackers utilizar decenas de miles de direcciones IP diferentes para rastrear millones de intentos de nombres de cuentas y contraseñas (la gran mayoría ni siquiera existen en nuestra base de datos) en busca de coincidencias. No se dedican a adivinar o realizar ataques de fuerza bruta a las contraseñas, sino que prueban con un nombre de cuenta y una contraseña muy específicos para cada intento. Por ejemplo, nombre de cuenta “fulanito@ejemplo.com”, contraseña “lagarto101”. Si no consiguen una coincidencia de inmediato, prueban con una variante como “lagarto100” o “lagarto102”, y luego pasan rápidamente a la siguiente entrada de su lista. Y es interesante ver que las contraseñas de estas listas son por lo general bastante buenas. Por cada cuenta de las listas de los hackers con una contraseña como “crepúsculo” (ejemplo real, ಠ_ಠ), hay decenas de cuentas con buenas contraseñas seguras. Así que todo el mundo sabe cómo elegir buenas contraseñas; la razón por la que la gente sigue sufriendo ataques es porque utilizan la misma contraseña en varios sitios.

Por supuesto, el entorno de seguridad ha cambiado. Cuando lanzamos el primer Guild Wars no vimos hackers probando estas largas listas de nombres de cuentas y contraseñas robadas. Pero en los últimos años, unnúmerorealmente sorprendente de empresas de videojuegos y sitios web han visto cómo atacaban sus cuentas. Estos informes de vulneraciones de seguridad (77 millones de cuentas por aquí, 25 millones de cuentas por allá, incontables millones más) pueden parecer abstractos, demasiado elevados para ser reales, pero obviamente no lo son. La información robada de los ataques a bases de datos vale mucho dinero para los hackers, que pueden utilizar los datos de las cuentas robados para atacar los nuevos juegos que salgan al mercado.

Así que si alguna vez resultó seguro memorizar una contraseña segura y luego usarla para varias cuentas, ya no lo es. Hoy en día es muy importante usar una contraseña única para cada cuenta que te importe y quieras conservar.

Autenticación por correo electrónico

Contamos con una función, la autenticación por correo electrónico, diseñada para ayudar a mantener la seguridad de tu cuenta, incluso aunque un hacker conozca tu nombre de cuenta y contraseña.

Funciona de esta forma: la primera vez que inicias sesión te pedimos que valides tu dirección de correo electrónico. Una vez hecho esto, siempre que intentes iniciar sesión desde una nueva ubicación, te enviaremos un mensaje pidiéndote que apruebes o rechaces el intento de inicio de sesión.

Así que si recibes un correo electrónico inesperado que te solicita que valides un intento de acceso desde un lugar desde el que no estás jugando, ¡es que un hacker ya conoce tu nombre de cuenta y tu contraseña! Lo único que le impide hacerse pasar por ti para acceder es el sistema de autenticación por correo electrónico. Cambia tu contraseña de inmediato.

Por desgracia, incluso con este sistema siguen pirateando cuentas. Y lo hacen así: para empezar, en torno a un tercio de los jugadores no han verificado todavía su dirección de correo electrónico. No podemos solicitar la autenticación por correo electrónico a los jugadores con direcciones de correo electrónico sin verificar. En segundo lugar, en muchos casos los hackers también han robado los datos de la cuenta de correo electrónico del jugador, por lo que pueden acceder al mensaje de autenticación y aprobar su propio intento de inicio de sesión. En concreto, esto sucede porque los jugadores usan la misma contraseña para su cuenta de correo electrónico y para su cuenta de Guild Wars 2 y otras cuentas.

Así que, para estar protegido, no olvides verificar tu dirección de correo electrónico y asegurarte de que la contraseña de tu cuenta de correo electrónico es diferente de la de tu cuenta de juego.

Autenticación de dos factores

Con la autenticación por correo electrónico puedes proteger aún más tu cuenta utilizando la autenticación de dos factores en tu cuenta de correo electrónico. Y la verdad es que es una buena idea. Al utilizar la autenticación por correo electrónico de este modo, proteges tu cuenta de forma muy similar a como lo hacen las típicas implementaciones de juegos de autenticación de dos factores: el juego se opondrá a cualquier intento de acceso desde una nueva ubicación, por lo que tendrás que usar la autenticación de dos factores para aprobarla.

Somos conscientes de que los clientes, al igual que nosotros, también quieren una implementación nativa de autenticación de dos factores. Como empresa debemos actuar más rápido en este aspecto, y vamos a hacerlo. Estuvimos probando nuestro propio autenticador de dos factores para smartphones, pero vamos a dejarlo a un lado y en su lugar integraremos Guild Wars 2 con Google Authenticator, que ya cuenta con implementaciones de autenticador robustas en la mayoría de plataformas de smartphone importantes. Esperamos lanzarlo en las próximas dos semanas.

La autenticación de dos factores es una gran herramienta para los clientes preocupados por proteger la seguridad de sus cuentas. Pero sabemos que llevará tiempo conseguir que una parte significativa de nuestros clientes adopte la autenticación de dos factores y, mientras tanto, los hackers seguirán atacando a diario y creando cuentas con nombres de cuenta y contraseñas que ya conocen. Así que necesitamos una solución que proteja a todos, no solo a los que más se preocupan por la seguridad, y rápido. Por esta razón, estamos desarrollando nuestra siguiente iniciativa: las listas negras de contraseñas.

Listas negras de contraseñas

Como hemos estado observando que los hackers rastrean constantemente cuentas que ni siquiera se han creado aún, esperando a que alguien lo haga, es obvio que queremos asegurarnos de que cuando esos nuevos clientes se unan al juego no utilicen la contraseña que los hackers están esperando. Por eso estamos elaborando una lista negra con todas las contraseñas que los hackers están escaneando —ya van 20 millones de contraseñas y sigue creciendo— e impidiendo que los nuevos clientes elijan una de estas contraseñas (la lista negra solo contiene contraseñas, no nombres de cuenta).

Este sistema ha eliminado considerablemente la posibilidad de que los hackers roben cuentas nuevas, ya que ahora las cuentas nuevas no coincidirán con las que los hackers han estado escaneando. La tasa de hackeo de cuentas era del 1,5% antes de elaborar esta lista negra y, una vez creada, es más o menos del 0,1%.

Como hemos obtenido tal éxito con la protección de nuevas cuentas, queremos ampliar la lista para proteger también las cuentas existentes. Pero nos resulta más complicado saber si los hackers conocen las contraseñas de las cuentas existentes: es difícil distinguir entre un intento de inicio de sesión por parte del cliente real y un intento de inicio de sesión de un hacker. Así que iremos por el camino seguro: vamos a pedir a todos los clientes existentes que cambien sus contraseñas y a añadir todas las antiguas a la lista negra.

Todo esto nos lleva a pedir a todos los clientes que tengan una cuenta a que cambien la contraseña. Al hacerlo, el sistema no te permitirá escoger la contraseña anterior ni cualquier contraseña que haya sido probada con una cuenta existente o inexistente. Por lo tanto, después de cambiarla, tendrás la seguridad de que la nueva contraseña es única en Guild Wars 2 (¡siempre y cuando no la uses para otros juegos y sitios web!).

En las próximas semanas intensificaremos esta petición para que los jugadores cambien de contraseña y hasta es posible que requiramos un cambio de contraseña a los usuarios que no la hayan cambiado voluntariamente.

Por cierto, si no se te ocurre una contraseña única ahora que hay millones de posibles contraseñas en la lista negra, te recomendamos que crees una clave de cuatro palabras al azar, como se muestra en esta tira cómica (en inglés). Utiliza una contraseña como “correcto caballo batería grapa”. Como calcula el cómic, aunque todo el mundo elija sus palabras de entre las mismas 2000 palabras más comunes, seguimos estando ante 16 billones de contraseñas posibles. Pronto introduciremos un generador de contraseñas aleatorias para sugerir contraseñas de este tipo.

Vulneraciones de la base de datos

Hemos leído que algunos jugadores especulan sobre el hecho de que las cuentas fueron pirateadas debido a una vulneración de la base de datos de Guild Wars. Tenemos medidas muy estrictas para evitar que los ataques de red lleguen a nuestras bases de datos de clientes, además de un equipo en constante vigilancia para detectar cualquier signo de intrusión, por lo que estamos seguros de que no se ha producido ninguna vulneración.

Nos tomamos la seguridad muy en serio. Suponemos que te habrás dado cuenta leyendo esta entrada del blog. Y de todas las cosas que protegemos en ArenaNet, por encima de todo protegemos los datos de nuestros clientes.

Supuestamente, empresas como Blizzard y Valve también tenían un compromiso con la seguridad, pero al final acabaron sufriendo vulneraciones en sus bases de datos de cuentas. ¿Llegaremos algún día a ser el blanco de un intento de pirateo que acabe finalmente superando nuestras defensas?

Si esto llegara a suceder, lo comunicaríamos abiertamente y tomaríamos medidas inmediatas para asegurarnos de que no se convierte en un hackeo de cuentas generalizado. Y aquí hay algo más en lo que pensar. Como estamos pidiendo a todos los jugadores de Guild Wars 2 que utilicen contraseñas únicas para Guild Wars 2, los hackers no tienen nada que robar de Guild Wars 2 que les sirva para atacar otros juegos o páginas web. Usar contraseñas exclusivas te beneficia de ambas formas. En general, comprometerse a utilizar una contraseña única para cada cuenta que te importe es la mejor manera de protegerse, no solo de que te ataque un hacker hoy, sino también de sufrir un ataque en el futuro como resultado de una vulneración de la seguridad de cualquier empresa en la que te hayas registrado.

Seguridad en el comercio

Hemos visto muy pocos casos en los que los hackers hayan comprado gemas con las cuentas después de piratearlas. Este tipo de ataque es muy poco frecuente porque tenemos restricciones en el juego que evitan que la riqueza sea transferida fuera de una cuenta en casos como este.

Hemos implementado nuevas restricciones para evitar que los hackers utilicen tarjetas de crédito almacenadas en cuentas robadas de este modo y ahora también ofrecemos a los usuarios la posibilidad de eliminar las tarjetas de crédito almacenadas.

Por supuesto, si un cliente se percata de que un hacker ha realizado compras no autorizadas con su tarjeta de crédito, puede ponerse en contacto con nuestro equipo de ayuda técnica para que le reembolsen el importe.

Pautas a seguir

Este blog se ha centrado en los hackers que utilizan datos de acceso robados para acceder a nuevas cuentas porque es lo que más observamos ahora mismo. Pero conforme vayamos encontrado soluciones para ese problema, los hackers irán buscando nuevos métodos, así que es importante no bajar la guardia en otros aspectos de la seguridad de las cuentas.

  • Phishing: si recibes un correo electrónico que enlaza a una página que te solicita que escribas tu contraseña, no lo hagas. Podría ser una página falsa. Ve a la página de gestión de cuentas real escribiendo “account.guildwars2.com” o utiliza un marcador.
  • Ingeniería social: si alguien afirma trabajar para ArenaNet o NCsoft y te pide tu contraseña, no se la proporciones. Nuestro equipo de atención al cliente no necesita tu contraseña.
  • Troyanos y software espía: no descargues ni ejecutes software o abras archivos adjuntos a mensajes de fuentes en las que no confíes al 100%. El software malicioso puede instalar un registrador de teclas en el sistema para grabar tus contraseñas y transmitirlas.
  • Seguridad del correo: mantén a salvo la dirección de correo electrónico asociada a tu cuenta de Guild Wars 2, al igual que haces con tu cuenta de Guild Wars 2. Utiliza una contraseña segura y única que nunca hayas usado en ningún otro lugar.

La razón de todo esto

¿Por qué los hackers trabajan tan duro para robar cuentas? Porque se lucran con ello.

Las empresas que comercian con dinero real quieren venderte oro a cambio de dinero en efectivo. Para ello, tienen que recoger el oro y lo tienen que anunciar. Recogen oro saqueando cuentas robadas, que emplean para utilizar bots. Lo anuncian enviando spam con las cuentas robadas.

Si la gente no comprara oro a estas empresas, el incentivo del dinero para robar cuentas desaparecería. No se piratearían cuentas, no habría saqueos de cuentas, ni bots organizados ni anuncios no deseados.

Eso solíamos pensar melancólicamente con el Guild Wars original, y publicábamos desafíos para que nuestros jugadores dejaran de apoyar a las empresas de comercio con dinero real. Pero en el fondo sabíamos que era una causa perdida. No puedes impedir que la gente compre algo que quiere comprar.

Así que en Guild Wars 2 legalizamos la compra de oro, pero lo hicimos de modo que el poder estuviera en manos de los jugadores, no en las de este tipo de empresas. Ahora, los jugadores que quieran comprar oro pueden hacerlo en el juego, en un mercado abierto con otros jugadores, intercambiando oro por gemas que pueden utilizar para comprar cualquier microtransacción que quieran, pero no pueden volver a convertirlas en dinero. Siempre y cuando compren el oro de este modo, no habrá un flujo de dinero entrando a las empresas que comercian con dinero real, y por lo tanto desaparecerá el incentivo de las ganancias para piratear cuentas.

Así que las raíces de nuestra protección se adentran en el diseño de Guild Wars 2, y vamos a aprovechar ese diseño para hacer que el entorno de Guild Wars 2 sea más seguro que el de los MMO tradicionales.

Pero nada es blanco o negro. Por mucho que eliminemos el incentivo de las ganancias, Guild Wars 2 seguirá siendo un juego muy popular, y cualquier juego popular atraerá a los hackers. Por lo tanto, la seguridad es siempre una prioridad en todo lo que hacemos. Introducimos nuevas funciones como la autenticación por correo electrónico, la autenticación de dos factores y las listas negras de contraseñas para reforzar la seguridad de las cuentas. Mantenemos un diálogo abierto con los jugadores acerca de cuáles son las amenazas reales para que sepan cómo protegerse. Y tenemos un equipo de Game Masters al servicio de cualquiera que sufra un ataque.

La seguridad es una cuestión de detalles, así que gracias por leer hasta aquí. Por favor, cambia tu contraseña y sigue los demás consejos de esta entrada para proteger tu cuenta. Y seguiremos centrados en la seguridad de las cuentas y trabajando incansablemente para proteger a nuestros clientes.

– Mike O’Brien