Uno de los mayores fallos de seguridad de la historia de Valve se tradujo en un robo que todavía sigue impune
Fue un atraco de película, pero no hicieron falta máscaras de Dalí ni tirar abajo la puerta de una cámara acorazada. No hubo armas, violencia o ruido. Tampoco fue un trabajo rápido. Entrar, llenar la bolsa de billetes y salir no es una opción cuando el 'lugar' donde estás dando el golpe es la cuenta de Steam del mayor coleccionista de skins de Counter-Strike del mundo. Los métodos deben ser distintos y más refinados, pero el objetivo es exactamente el mismo. Al final, estamos hablando de llevarse dos millones de dólares y huir antes de que alguien se dé cuenta de que has estado ahí. Un trabajo limpio, un crimen perfecto.
Un crimen 'exclusivo' de Steam
El precio de los cosméticos de Counter-Strike varía entre los tres céntimos y los cientos de miles de euros y, como imaginarás, la víctima del robo tenía más de los segundos que de los primeros. Su inventario estaba lleno de cosméticos de alto valor que, en la práctica, se comportan como activos financieros intercambiables. Son acciones que se pueden comprar y vender. Objetos caros en un mercado no regulado en el que escapar al control de Valve es tan sencillo como crearse una cuenta en una página web. Hay decenas de dominios especializados en ayudarte a convertir skins en dinero real que, además, también tienen un máster en no hacer demasiadas preguntas.
Todo el sistema de estas webs se sostiene sobre la esperanza de que las personas que están vendiendo las skins son, en efecto, sus propietarios. El problema es que el robo de cuentas es uno de los males más extendidos de internet. ¿Qué pasaría si alguien consiguiera acceso al Steam de un coleccionista de skins y se pusiera a vender sus objetos? La respuesta era simple: el crimen perfecto. Al menos, eso es lo que pensaba un tipo en Rusia con más hambre de dinero que ganas de trabajar, aunque también con el ingenio suficiente como para burlar una barrera que parecía infranqueable. Un derribo para el que consiguió la ayuda de un socio inesperado: Valve.
Robar la cuenta de Steam de alguien que ha activado el sistema de verificación en dos pasos es tan difícil que Gabe Newell, el fundador de la compañía, reveló los datos de acceso a su cuenta: "Mi usuario es GabeN@valvesoftware.com, y mi contraseña es MoolyFTW. Podéis intentar robármela, pero no lo vais a conseguir". Han pasado casi quince años desde entonces y hasta el momento no se ha colado ningún intruso. Desde un punto de vista técnico, el sistema es infranqueable. Sin embargo, los humanos casi siempre somos el eslabón más débil en lo referido a la ciberseguridad.
De la víctima del robo sabemos solo dos cosas, pero ambas son fundamentales. La primera es que se trata de un usuario conocido en la comunidad como HFB y la segunda que había sufrido algún tipo de filtración de sus datos personales. No es que alguien le robase su correo electrónico y contraseña, sino que estaba registrado en algún servicio que sufrió un ataque informático. Cuando una compañía es 'hackeada' suele decir que no se ha comprometido nada "sensible" en referencia a que las contraseñas y los registros bancarios están seguros. Sin embargo, todo lo demás también es importante.
A base de bucear por filtraciones, el ladrón obtuvo suficiente información personal de HFB como para contactar al equipo de soporte de Steam haciéndose pasar por él. Asegurando que había perdido acceso a la cuenta de correo que solía utilizar, comenzó un proceso de recuperación en el que respondió correctamente a todas las preguntas. En favor de Valve hay que decir que HFB había estado mucho tiempo inactivo, por lo que la solicitud no era tan fuera de lo común. En contra, que trataron la solicitud como una más, sin valorar que esa era una de las cuentas más valiosas de toda la plataforma. Construyeron una cámara acorazada con una puerta de un metro de grosor, pero la abrieron justo cuando más la necesitaban.
El robo más largo del mundo
Cuando uno piensa en un robo que sale bien, casi siempre imagina algo breve: entrar en el banco, coger el dinero y salir pitando en los cinco minutos que hay antes de que llegue la policía. Sin embargo, Steam aquí tiene otro mecanismo de seguridad. Cuando se modifican los datos de acceso a una cuenta, a esta se le prohíbe temporalmente el intercambio de objetos. Se trata de un procedimiento estándar que tiene como objetivo evitar casos como el que estamos contando y que, cuando el robo ocurrió en 2022 el tiempo de espera era de 5 días. Eso son 7.200 minutos, y en cada uno de ellos algo podía haber salido mal.
Uno solo puede imaginar qué pasaría por la cabeza del ladrón cuando pudo iniciar sesión y todo su botín se mostró ante él. ¿Qué hubiera ocurrido si alguien que conociera personalmente a HFB se sorprendía al verlo conectado después de tanto tiempo? ¿Y si él mismo veía el correo que probablemente le había enviado el sistema automático de Valve? El primer día seguro que estaba demasiado ocupado celebrando que lo había conseguido, pero no me quiero imaginar cómo estarían los ceniceros de su habitación en la noche del cuarto. ¿Sería capaz de dormir? ¿Llegaría a abrir Counter-Strike para ver al menos una vez algunas de esas skins en movimiento?
Lo que sí sabemos que hizo fue refinar su plan. En cuanto el baneo de intercambios terminó, la cuenta de HFB apareció registrada en varias páginas web de venta de skins y comenzó a vender cosméticos a un precio que apenas llegaba al 50% del valor de mercado. La idea, ahora sí, era conseguir todo el dinero posible y correr antes de que fuera demasiado tarde. Solo pasaron horas hasta que Valve se dio cuenta y tomó medidas, pero en este tiempo fue capaz de retirar al menos 242.000 dólares (el documentalista Brandon FM estima que 300.000) en Bitcoin. Si desde entonces hubiera mantenido su inversión, la cantidad ahora sería cuatro veces mayor.
Como respuesta a la situación, Valve hizo algo que nunca antes habíamos visto y que tampoco volvimos a ver. La compañía generalmente no ayuda a quienes pierden sus skins por fallos de seguridad o estafas. Sin embargo, esta vez hizo retroceder el tiempo. "Los ítems en cuestión se eliminaron de tu inventario porque pertenecían a una cuenta que fue comprometida a través de una petición de ayuda al equipo de soporte al jugador, algo por lo que el equipo de CS:GO asume la responsabilidad. Hemos revertido los intercambios y eliminado los objetos de cualquier cuenta que los hubiera recibido", decía la compañía a través de un ticket de Steam.
Fueron las webs en las que se vendieron los cosméticos las que finalmente tuvieron que responder ante los clientes que habían comprado los ítems robado y, final feliz para ellos, ambas decidieron devolver todo el dinero. En este sentido, el robo dejó una factura muy grande para un par de empresas y muy pequeña para todos los demás. El ladrón se llevó su botín y nunca volvió a aparecer, la víctima recuperó sus cosméticos tras llevarse el susto de su vida y los compradores de los ítems nunca sufrieron ninguna consecuencia.
Desde entonces Steam ha cambiado la forma de trabajar con el soporte y no se han repetido más casos similares. Fue, simplemente, el robo perfecto. Un golpe que solo iba a poder hacerse una vez en la historia y que alguien preparó hasta el último detalle. Fueron meses de preparación, cinco días de espera y unas horas para conseguir el dinero y salir pitando. El culpable no sabemos dónde está, pero o le irá muy mal o le irá muy bien. En las grandes apuestas, uno solo gana cuando sabe retirarse a tiempo.
En 3DJuegos | Da igual lo que hayas leído, GAME España no solo no va a cerrar sus tiendas, quieren mejorar en todo tras unos años complicados.
En 3DJuegos | "No vamos a derrocar a Steam". Epic Games ha tenido un año récord, pero su plan de futuro ha cambiado.
Ver todos los comentarios en https://www.3djuegos.com
VER 0 Comentario