*Fortnite* fue el videojuego por excelencia de 2018. Extendiéndose como la pólvora a lo largo y ancho del mundo durante el pasado año y conquistando a más de 200 millones de jugares en diferentes plataformas, el fenómeno generado por el título de Epic Games creó, utilizando la propia jerga del mismo, una tormenta imposible de obviar, especialmente por los ciberdelincuentes.
Porque si Fortnite es una fuente inagotable de diversión y entretenimiento, también es una auténtica mina para quienes desean lucrarse llevando a cabo acciones malintencionadas contra la base de usuarios del videojuego, conformada en buena parte por un público joven e incluso menor de edad. Así las cosas, los problemas de seguridad al respecto se han ido sucediendo a medida que este ganaba relevancia, con un mercado negro creciente alrededor de las cuentas que, entre otras cosas, no cuentan con la verificación de dos pasos activada.
Nuevo negocio de hackers: robar y vender cuentas de ‘Fortnite’
Una nueva investigación revela ahora un fallo de seguridad que también ha podido ser aprovechado por los atacantes para acceder a las cuentas de los usuarios que no cuentan con esta opción de seguridad activada, permitiendo tomar la posesión completa de la misma.
Desde traficar con paVos hasta espiar conversaciones
La vulnerabilidad fue descubierta y comunicada a Epic Games el pasado mes de noviembre por la firma de seguridad Check Point, que si bien decidió no revelarlo sí solventó a los pocos días la posibilidad de explotar este fallo. El hallazgo ha sido hecho público hoy por sus descubridores a través de una publicación y un vídeo en su blog donde se detalla el proceso a seguir por una persona que quisiera tomar el control de la cuenta de un tercero.
A grandes rasgos, el proceso seguido desde Check Point recae enteramente en un mensaje con un enlace falso que es enviado al usuario del cual se quieren obtener los datos de ingreso, el cual apunta a un subdominio de Epic Games a través del cual podían obtener las credenciales de registro cuando el usuario trataba de acceder a su cuenta utilizando sus datos de Google, PSN, Xbox, Switch o Facebook. El enlace enviado, relatan, se podría camuflar como un phising al uso, prometiendo recompensas y siendo enviado a través del propio chat del juego para evitar levantar sospechas.
Una vez que el atacante se encontrase dentro de la cuenta del usuario habría podido llevar a cabo cualquiera de las acciones típicas del juego, siendo especialmente preocupante el acceso a la tarjeta de crédito de este. "Los usuarios bien podrían ver grandes compras de la moneda del juego en sus tarjetas de crédito, con el atacante canalizando esa moneda virtual para que venderla por dinero en efectivo en el mundo real", relatan.
Además, una vez dentro, esta persona tendría garantizado el acceso también a los contactos del juego del usuario y podría escuchar las conversaciones privadas que se tuvieran durante el juego. Un compendio de problemas que, aunque ya subsanados, vuelven a poner de manifiesto la problemática a la que se enfrenta Epic Games para mantener delineado el coto de Fortnite.