Durante las últimas semanas, diversos usuarios han expuesto a través de redes sociales, foros y otras comunidades online que sus cuentas de Nintendo habían sido hackeadas y, en algunos casos, también utilizadas para realizar compras digitales. Sin embargo, no ha sido hasta hoy cuando Nintendo ha confirmado lo que muchos ya sospechaban: más de 160.000 cuentas de Nintendo han sido hackeadas.

En un comunicado, la compañía ha explicado que la puerta de entrada utilizada por los hackers ha sido los Nintendo Network ID (NNID), utilizados para realizar compras digitales y jugar en línea desde consolas como la Nintendo 3DS o la Wii-U.

Esta plataforma se encuentra actualmente en desuso. Con el lanzamiento de Switch, Nintendo empezó a promover una nueva plataforma denominada como Nintendo Account, necesaria para realizar compras y jugar en línea tanto en las consolas Nintendo Switch como en los videojuegos para smartphones que la empresa japonesa ha lanzado durante los últimos años –como es el caso de Super Mario Run o Animal Crossing Pocket Camp–.

Nintendo, no obstante, sí que permitía enlazar las cuentas creadas en Nintendo Network ID (NNID) con los perfiles registrados en Nintendo Account, de forma que, si el propietario de una Nintendo 3DS o una Wii-U adquiría una Nintendo Switch, podía compartir determinados datos entre ambas plataformas (como la lista de amigos, el saldo pendiente en el monedero, etc.). Una vez completado el proceso de vinculación, además, los usuarios podían iniciar sesión en la plataforma Nintendo Account (compatible con Nintendo Switch) empleando los credenciales de Nintendo Network ID (compatible con Wii-U y 3DS).

Los hackers, por lo tanto, habrían obtenido los credenciales de acceso de miles de perfiles en Nintendo Network ID y, posteriormente, los habrían utilizado para iniciar sesión en Nintendo Account desde cualquier navegador web. Una vez dentro, los hackers podían recopilar datos personales de los usuarios (fechas de nacimiento, direcciones de correo electrónico, etc.) y, en algunos casos, realizar compras fraudulentas en Nintendo eShop (utilizando los métodos de pago configurados previamente en la cuenta).

Nintendo no ha especificado cómo han obtenido los hackers los credenciales de acceso a Nintendo Network ID, aunque asegura que no proceden de una brecha de seguridad en su servicio. Lo que sí asegura es que los accesos fraudulentos a las cuentas comenzaron a producirse a inicios de abril.

Para proteger a los usuarios, la compañía ha desactivado la opción de iniciar sesión en Nintendo Account con los credenciales de Nintendo Network ID. Además, la compañía notificará por correo electrónico a las personas que puedan haberse visto afectadas y reiniciará las contraseñas de dichas cuentas –por lo que los usuarios tendrán que configurar una nueva la próxima vez que intenten iniciar sesión–.

En paralelo, Nintendo ha solicitado a los consumidores que activen el sistema de verificación en dos pasos en sus cuentas y eviten la reutilización de contraseñas en diferentes servicios.