Fortnite presenta fallos que permiten robar las cuentas

Fortnite mobile fake

Fortnite es uno de los juegos online más exitosos del momento. Sus más de 80 millones de jugadores se extienden a través de todas las plataformas: PC, Switch,  PS4, Xbox One… Es por ello que quizá se haya hecho también muy popular entre los cibercriminales, llegando al punto de generar un mercado negro de cuentas robadas.

El último método de robo de cuentas de Fortnite no necesita hacerse con las credenciales de los usuarios para acceder a sus perfiles

Pero puede que no todo se deba a la pericia de los piratas informáticos. La empresa de ciberseguridad Check Point ha encontrado ciertas vulnerabilidades en el propio juego que permitirían a un atacante acceder a la cuenta de otros usuarios, su información personal e incluso comprar items del juego con los datos de la tarjeta de la víctima.

Este fallo de seguridad también permitiría a los atacantes escuchar las conversaciones de los jugadores dentro del juego, por lo que también afecta a la privacidad. Hasta ahora, el mayor vector de ataque siempre ha sido engañar a los usuarios para que introdujesen sus datos en sitios web falsos, pero parece que este paso ya no es necesario.

El fallo se encontraría en el proceso de inicio de sesión en Fortnite debido a tres vulnerabilidades encontradas en la web de Epic Games, la empresa responsable del juego. Todo ello hace que se puedan interceptar los tokens de autenticación que los usuarios generan al registrarse.

Para ello, los atacantes solo tienen que crear un enlace de phising basado en un dominio de Epic Games. Cuando los usuarios acceden al enlace, se captura el token de inicio de sesión sin necesidad de que el usuario introduzca sus credenciales. Una vez con el token en su poder, los atacantes pueden acceder a la cuenta.

Check Point ha avisado a Epic Games del descubrimiento, y la empresa asegura haber subsanado los fallos. Aún así, se recomienda siempre el uso de un sistema de autenticación de dos factores y no hacer clic en enlaces sospechosos.

Juan Carlos Rubio

Periodista. Especializado en tecnología y política internacional.

Deja un comentario

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable: TreceBits S.L. (TreceBits)
Finalidad: Que puedan comentar las noticias publicadas
Legitimación: Consentimiento del interesado. Satisfacción del interés legítimo del Responsable.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: [email protected].
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.