Nueva estafa por Steam: mandan un link para votar por un equipo pero se trata de phishing
Un usuario denunció lo que le pasó en un hilo de Twitter y compartió el método para evitar inconvenientes.
Por Alejo Zagalsky Con info TN
Steam es uno de los servicios más populares de videojuegos en la actualidad. Permite comprar títulos a buenos precios y es compatible con casi todas las plataformas, aunque es muy usada en PC, Mac y Linux. El problema, por supuesto, es que si alguien lograra hacerse con nuestra cuenta se quedaría con toda la colección gamer que tengamos dentro del servicio.
Algo así le pasó a Daniel Belvedere, más conocido como Lord Alfajor en las redes, que es profesor de diseño de videojuegos y coleccionista. En su cuenta de Twitter, @losalfajores, contó que le hicieron phishing en Steam y armó un hilo relatando lo sucedido. Todo comenzó con un pedido de una cuenta amiga para una votación.
“El problema comenzó cuando desde una cuenta “amiga” me piden votar para un equipo de CSGO (Counter Strike)”, explicó.
Hasta ahí nada raro, el pedido llegó de una cuenta que conocía y le pidió votar en un sitio en el que parecían estar las medidas de seguridad necesarias. “Todo se ve bien, conexión segura, certificados válidos, y la excusa de usar el Steam Guard”, agregó Belvedere.
Steam Guard, para los que no lo conocen, es el sistema de autenticación de dos pasos de Steam, para el celular. “Cada vez que te logueas en tu cuenta sin haber guardado el password te pide un código que dura solo 20 segundos. Sin él no se puede hacer casi nada”, explicó el especialista en Twitter.
Finalmente llegó el momento de la estafa. Entró a una página, https://authlogcologne.com/, que tenía candando y certificación. Le piden el código Steamguard y eso es lo que logran robarle, en una ventana de 20 segundos, para acceder a su cuenta.
“Una vez dentro de mi cuenta no salta ninguna alarma porque entraron legalmente con el código, y Steam te permite loguearte en dos máquinas a la vez”, detalló @losalfajores.
Hubo algo “bueno”, dentro de lo que le sucedió al usuario, con esta estafa: no podían cambiarle la contraseña para robarle la cuenta porque para eso necesitarían otra vez un código Steamguard. Pero sí podían robarle ítems valiosos del inventario.
El acceso a una cuenta, además, les puede permitir seguir engañando a usuarios, perfiles conocidos, para seguir robando acceso a cuentas. “Creo que hasta ahí pueden llegar, robarte la cuenta implica tener el acceso a tu mail, cosa que no tienen, pero igual sigue siendo grave”, informó Belvedere.
El consejo es uno que damos siempre en TN Tecno. Desconfiar de cualquier link que nos llega por cualquier plataforma y tener siempre activados los sistemas de verificación de dos pasos.
Hablamos con @losalfajores, que nos contó que el factor clave para descubrir el “hackeo” fue un descuido. “Me enteré porque a alguien le llamó la atención de que estaba jugando y mandando mensajes a la vez. En ese sentido no fue muy cuidado el que quiso hackearme”, detalló.
// Día de las Redes Sociales: por qué se celebra el 30 de junio
Si caíste en la trampa, Belvedere explicó lo que hay que hacer: “Cambiar ya mismo la contraseña, activar el Steamguard y desloguear todos los dispositivos entrando en https://store.steampowered.com/twofactor/manage”.
“Van saltando de cuenta en cuenta hasta que encuentran algo valioso, usan el usuario de otra persona para generar confianza”, agregó Belvedere. Algo así le pasó al hijo adolescente de una editora de TN.com.ar. Le llegó el link de un amigo, le robaron algunas cosas de un juego y le mandaron el link a sus contactos. “Como apareció esa actividad, Steam le suspendió la cuenta por un período de tiempo”, detalló su madre. No parece una mala medida: ante una situación de posible robo o viralización de hackeo, la plataforma suspende al usuario.
A Dany Belvedere no le robaron objetos valiosos porque no juega CSGo, pero desde su conocimiento entiende que ese suele ser el objetivo: “tengo entendido que algunas skin pueden valer una buena plata”. Además destacó la importancia de tener Steamguard, el factor de doble autenticación, aunque por suerte este sistema de hackeo no debería servir para robar las cuenta, porque la confirmación final siempre va por mail. “Quizás Steam debería limitar la posibilidad de mandar mensajes desde la otra cuenta para que estas cosas no puedan pasar”, concluyó el experto en videojuegos.